Los actores de amenazas están explotando activamente una falla de seguridad crítica en Everest Forms Pro, un complemento de WordPress con alrededor de 4000 instalaciones activas, para ejecutar código arbitrario, lo que lleva a un compromiso completo del sitio.
La vulnerabilidad en cuestión es CVE-2026-3300 (puntuación CVSS: 9,8), un error de ejecución remota de código que afecta a todas las versiones del complemento hasta la 1.9.12 inclusive. Se lanzó un parche para la falla el 18 de marzo de 2026, con la versión 1.9.13.
«Esto se debe a que la función Process_filter() del complemento de cálculo concatena valores de campo de formulario enviados por el usuario en una cadena de código PHP sin el escape adecuado antes de pasarlo a eval()», Wordfence dicho.
«La función sanitize_text_field() aplicada a la entrada no escapa de las comillas simples u otros caracteres de contexto del código PHP. Esto hace posible que atacantes no autenticados inyecten y ejecuten código PHP arbitrario en el servidor enviando un valor manipulado en cualquier campo de formulario de tipo cadena (texto, correo electrónico, URL, selección, radio) cuando un formulario utiliza la función 'Cálculo complejo'».
La explotación exitosa de la vulnerabilidad podría permitir a actores maliciosos no autenticados ejecutar código PHP arbitrario en el servidor, permitiéndoles crear cuentas de administrador fraudulentas, implementar shells web y abrir otras formas de profundizar en el servidor y establecer puntos de apoyo persistentes.
Según la empresa de seguridad de WordPress, se ha observado que los atacantes explotan el defecto a partir del 13 de abril de 2026. Hasta la fecha se han bloqueado más de 29.300 intentos de explotación dirigidos al defecto. De estos, 16 intentos de ataque ocurrido en las últimas 24 horas. La carga útil más común implica intentos de crear una cuenta de administrador llamada «diksimarina» (dirección de correo electrónico: diksimarina@gmail.com) en el sitio comprometido.
Estos esfuerzos de ataque se originaron en las siguientes direcciones IP:
- 202.56.2.126
- 209.146.60.26
- 15.235.166.18
- 2402:1f00:8000:800::40dB
- 185.78.165.153
Los ataques de Skimmer explotan Stripe para C2
La divulgación se produce cuando Sansec advirtió sobre múltiples campañas de skimmer, incluida una que utiliza Stripe como servidor de comando y control (C2) y un sumidero de exfiltración de datos en un intento por explotar la reputación de la marca y eludir las reglas de la Política de seguridad de contenido y los filtros de red.
«El atacante trata a Stripe como una infraestructura gratuita, no como una forma de blanquear cargos», Sansec anotado. «Stripe les proporciona una base de datos grabable para tarjetas robadas y un punto final de alojamiento de código para el skimmer, ambos detrás de un dominio en el que las reglas CSP y los filtros de red confían de forma predeterminada».
La campaña se basa en los dominios Google Tag Manager (GTM) y Stripe (googletagmanager.com y api.stripe.com), en los que las tiendas en línea confían implícitamente, con el código malicioso cargado desde un contenedor GTM y ejecutado en cada página que lo carga.
En las páginas de pago de Magento y Adobe Commerce, extrae un skimmer ofuscado de un Cuenta de cliente de Stripedel campo de metadatos («cus_TfFjAAZQNOYENR», en este caso) y guarda la información financiera, las direcciones de facturación y de correo electrónico y los números de teléfono ingresados por usuarios desprevenidos para almacenamiento local. Los datos capturados luego se extraen de nuevo a la cuenta de Stripe del atacante.
«Cada tarjeta robada se convierte en un 'cliente' en la cuenta del atacante», afirmó la empresa de seguridad del comercio electrónico. «Si tiene éxito, el cargador elimina la entrada localStorage, por lo que el mismo registro no se envía dos veces. El atacante lista sus tarjetas robadas más tarde llamando a la misma API con la misma clave. La base de datos de clientes de Stripe se convierte en un sumidero de exfiltración gratuito y duradero».
Se dice que el registro de cliente de Stripe que contiene el skimmer se creó el 24 de diciembre de 2025, lo que indica que la operación puede haber estado activa desde entonces. Sansec dijo que también identificó una segunda variante del cargador que usa Google Firestore en lugar de Stripe, aunque el objetivo final es el mismo: abusar de un servicio confiable como un canal encubierto que es poco probable que sea bloqueado por las tiendas de comercio electrónico.
Los hallazgos coinciden con una operación a gran escala denominada Gorgonágora que ha utilizado un grupo de 5.714 escaparates .shop falsos que se hacen pasar por marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney y Toyota, cuyas páginas de pago canalizan datos de tarjetas robadas a un único servidor skimmer en Moldavia. La campaña ha estado en curso desde agosto de 2025.
«Cada tienda ejecuta la misma pila de comercio Medusa.js y carga el mismo SDK de pago personalizado, que genera un iframe Stripe falso y filtra los datos de la tarjeta a través de un WebSocket cifrado a un único servidor en Moldavia», dijo la compañía holandesa.
«La exfiltración se ejecuta a través de WebSocket con una carga útil AES-256-GCM, y el C2 mantiene una retransmisión 3D Secure en vivo: cuando el banco víctima devuelve un desafío 3DS, el operador se lo devuelve al comprador a través del iframe falso para que la transacción se complete y el robo permanezca invisible».
