WordPress tabanlı web sitelerini hedef alan kritik bir güvenlik açığı, Everest Forms Pro eklentisinin 1.9.12 ve önceki sürümlerinde uzaktan kod yürütme (RCE) riski oluşturuyor. CVE-2026-3300 kodlu bu zafiyet, 18 Mart 2026 tarihinde 1.9.13 sürümüyle kapatıldı ancak 13 Nisan 2026’dan itibaren aktif olarak istismar edilmeye başlandı.
Saldırının Genel Çerçevesi
Sorun, eklentinin “Calculation Addon” modülündeki process_filter() fonksiyonunun, kullanıcı tarafından gönderilen form alanı değerlerini uygun şekilde kaçışlamadan PHP kodu olarak çalıştırmasıyla ortaya çıkıyor. sanitize_text_field() fonksiyonu tek tırnak ve diğer PHP bağlam karakterlerini kaçışlamadığı için, kimlik doğrulaması olmayan saldırganlar formdaki metin, e-posta, URL, seçim ve radyo gibi alanlara kötü niyetli PHP kodu enjekte edebiliyor.
Başarılı bir istismar, saldırganların sunucu üzerinde rastgele PHP kodu çalıştırmasına, kötü amaçlı yönetici hesapları oluşturmasına, web shell yerleştirmesine ve kalıcı erişim sağlamasına olanak tanıyor. Bugüne kadar 29.300’den fazla saldırı girişimi engellendi ve son 24 saatte 16 yeni deneme kaydedildi. En yaygın saldırı yöntemi, “diksimarina” adlı bir yönetici hesabı yaratmaya yönelik.
Hangi Sistemler Risk Altında?
Bu açık, Everest Forms Pro eklentisini kullanan tüm WordPress sitelerini etkiliyor. Özellikle e-ticaret, kurumsal ve içerik yönetim sistemlerinde yaygın olan bu eklenti, karmaşık hesaplama özellikleri kullanan formlarda risk oluşturuyor. Saldırganların IP adresleri arasında 202.56.2.126, 209.146.60.26 ve 185.78.165.153 gibi çeşitli kaynaklar bulunuyor.
Stripe Tabanlı Skimmer Kampanyası
Aynı dönemde, Stripe altyapısını komut kontrol (C2) ve veri sızıntısı için kullanan karmaşık bir skimmer saldırısı da tespit edildi. Bu kampanya, Google Tag Manager (GTM) ve Stripe API alan adlarını kullanarak Content Security Policy (CSP) ve ağ filtrelerini aşmayı başarıyor. Magento ve Adobe Commerce gibi platformların ödeme sayfalarından çalınan kredi kartı bilgileri, Stripe müşteri hesaplarına kaydediliyor ve AES-256-GCM şifreli WebSocket kanalıyla Moldova’daki bir sunucuya aktarılıyor.
Skimmer, Stripe müşteri meta verilerinde saklanıyor ve her çalınan kart, saldırganın hesabında ayrı bir müşteri olarak listeleniyor. Bu yöntem, e-ticaret sitelerinin güvenlik önlemlerini atlatmak için güvenilen altyapıları kötüye kullanıyor.
Saldırı Zinciri ve Teknik Özet
- Kullanılan zararlılar: Everest Forms Pro RCE (CVE-2026-3300), Stripe tabanlı skimmer
- Hedef sektörler: E-ticaret, içerik yönetim sistemleri, kurumsal web siteleri
- Saldırı zinciri: Form alanı üzerinden RCE → Yönetici hesabı oluşturma → Web shell yerleştirme → Kalıcı erişim sağlama
- Stripe skimmer zinciri: GTM konteynerinden kötü amaçlı kod yükleme → Ödeme sayfasında veri toplama → Stripe müşteri hesabına veri kaydetme → Şifreli WebSocket ile veri sızıntısı
- Önerilen savunma: Eklenti güncellemeleri, CSP ve ağ segmentasyonu iyileştirmeleri, EDR ve SIEM entegrasyonları, MFA kullanımı
Siber Güvenlik Ekipleri İçin Pratik Öneriler
- Everest Forms Pro eklentisini 1.9.13 veya üzeri sürüme güncelleyin.
- Form verilerinin sunucu tarafında doğru şekilde kaçışlandığından emin olun.
- Şüpheli yönetici hesapları ve web shell dosyalarını düzenli olarak tarayın.
- Stripe ve GTM alan adları üzerinden gelen trafik ve API çağrılarını izleyin.
- Ödeme sayfalarında GTM konteynerlerinin içeriğini doğrulayın ve gereksiz izinleri kaldırın.
- Ağ segmentasyonu ile kritik sunuculara erişimi sınırlandırın.
- EDR çözümleri ile anormal kod yürütme ve dosya değişikliklerini tespit edin.
- Olay müdahale planlarınızı güncelleyerek hızlı aksiyon alın.