Los actores de amenazas están explotando activamente una falla de seguridad crítica en Everest Forms Pro, un complemento de WordPress con aproximadamente 4000 instalaciones activas, para ejecutar código arbitrario y comprometer completamente su sitio.
La vulnerabilidad en cuestión es CVE-2026-3300 (puntuación CVSS: 9,8), un error de ejecución remota de código que afecta a todas las versiones del complemento hasta la 1.9.12. Se lanzó un parche para esta falla el 18 de marzo de 2026 en la versión 1.9.13.
«Esto se debe a que la función Process_filter() del complemento de cálculo concatena los valores de los campos de formulario enviados por el usuario en una cadena de código PHP sin escaparlos adecuadamente antes de pasarlos a eval()», dijo Wordfence.
«La función sanitize_text_field() aplicada a la entrada no escapa de las comillas simples u otros caracteres de contexto del código PHP. Esto permite a un atacante no autenticado inyectar y ejecutar código PHP arbitrario en el servidor enviando un valor manipulado a un campo de formulario de tipo cadena (texto, correo electrónico, URL, selección, radio) cuando el formulario utiliza la función de ‘cálculo complejo’.
La explotación exitosa de esta vulnerabilidad podría permitir a un atacante no autenticado ejecutar código PHP arbitrario en el servidor, crear cuentas de administrador no autorizadas, implementar un shell web o lograr una penetración profunda en el servidor y establecer un punto de apoyo persistente.
Según la empresa de seguridad de WordPress, se ha observado que los atacantes explotan esta falla desde el 13 de abril de 2026. Hasta la fecha, se han bloqueado más de 29.300 intentos de explotación dirigidos a esta falla. De ellos, 16 ataques fueron intentados en las últimas 24 horas. La carga útil más común incluye un intento de crear una cuenta de administrador llamada «diksimarina» (dirección de correo electrónico: diksimarina@gmail.com) en el sitio comprometido.
Estos ataques se originaron desde las siguientes direcciones IP:
202.56.2.126 209.146.60.26 15.235.166.18 2402:1f00:8000:800::40db 185.78.165.153
Los ataques de skimmer explotan las rayas C2
La divulgación se produce cuando Sansec advierte sobre múltiples campañas de skimmer. Estos incluyen aquellos que utilizan Stripe como servidor de comando y control (C2) y sumidero de extracción de datos para explotar la reputación de la marca y eludir las reglas de políticas de seguridad de contenido y los filtros de red.
«Los atacantes están tratando a Stripe como una infraestructura gratuita, no como un medio para blanquear las tarifas», afirmó Sansek. «Stripe proporciona una base de datos grabable para tarjetas robadas y un punto final de alojamiento de código para skimmers, ambos detrás de dominios en los que las reglas CSP y los filtros de red confían de forma predeterminada».
La campaña se basa en los dominios Google Tag Manager (GTM) y Stripe (googletagmanager.com y api.stripe.com), en los cuales las tiendas en línea confían implícitamente, y el código malicioso se carga desde el contenedor GTM y se ejecuta en cada página que lo carga.
En las páginas de pago de Magento y Adobe Commerce, el skimmer ofuscado extrae los campos de metadatos de la cuenta del cliente de Stripe (en este caso, «cus_TfFjAAZQNOYENR») y almacena información financiera, direcciones de facturación, direcciones de correo electrónico y números de teléfono ingresados por usuarios desprevenidos en localStorage. Los datos capturados se extraen a la cuenta Stripe del atacante.
«Todas las tarjetas robadas se convierten en ‘clientes’ de la cuenta del atacante», afirmó la empresa de seguridad del comercio electrónico. «Si tiene éxito, el cargador elimina la entrada localStorage para que el mismo registro nunca se envíe dos veces. Posteriormente, el atacante enumera las tarjetas robadas llamando a la misma API con la misma clave. La base de datos de clientes de Stripe se convierte en un sumidero de extracción gratuito y duradero».
Se dice que los registros de clientes de Stripe que contienen el skimmer se crearon el 24 de diciembre de 2025, lo que indica que la operación puede haber estado en funcionamiento desde entonces. Sansec dijo que también identificó una segunda variante del cargador que usa Google Firestore en lugar de Stripe, pero el objetivo final es el mismo: explotar un servicio confiable como un canal encubierto que es menos probable que sea bloqueado por las tiendas de comercio electrónico.
Este descubrimiento coincide con una operación más amplia llamada GorgonAgora, que utilizó un grupo de 5.714 escaparates .shop falsos que se hacían pasar por marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney y Toyota, cuyas páginas de pago canalizaban datos de tarjetas robadas a un único servidor skimmer en Moldavia. Esta campaña ha estado en curso desde agosto de 2025.
«Todas las tiendas ejecutan la misma pila de comercio Medusa.js y cargan el mismo SDK de pago personalizado, que genera un iframe Stripe falso y extrae datos de la tarjeta a través de un WebSocket cifrado a un único servidor en Moldavia», dijo la compañía holandesa.
«El robo se realiza a través de un WebSocket con una carga útil AES-256-GCM, y el C2 mantiene una retransmisión segura 3D en vivo. Una vez que el banco de la víctima devuelve el desafío 3DS, el operador se lo devuelve al comprador a través de un iframe falso. Esto completa la transacción y hace que el robo sea invisible».
Source link
