Migliaia di siti basati su WordPress si trovano improvvisamente esposti a un pericolo concreto, e la causa ha un nome preciso: Everest Forms Pro. Una vulnerabilità critica scoperta in questo plugin permette di prendere il controllo completo di un sito, e la cosa peggiore è che gli attacchi sono già in corso. Non si tratta di un rischio teorico o di uno scenario ipotetico: le piattaforme di monitoraggio hanno contato oltre 29.000 tentativi di sfruttamento nelle settimane successive alla scoperta del problema. Funziona sempre così, ormai: appena emerge una falla in un plugin molto diffuso, i criminali informatici si muovono in fretta.
Il difetto è catalogato come CVE-2026-3300 e ha ottenuto un punteggio CVSS di 9.8, praticamente il massimo della gravità. Consente l’esecuzione di codice da remoto senza bisogno di alcuna autenticazione, il che significa che un aggressore non ha bisogno né di credenziali né di accedere al pannello di amministrazione per fare danni.
Come agisce la falla e cosa rischiano i siti colpiti
La vulnerabilità riguarda tutte le versioni di Everest Forms Pro fino alla 1.9.12 compresa, e si annida nella funzione chiamata Complex Calculation, pensata per gestire formule avanzate all’interno dei moduli. Il problema, dal punto di vista tecnico, sta in un uso poco prudente della funzione PHP eval(). Durante l’elaborazione dei dati inviati con un modulo, alcuni valori inseriti dagli utenti finiscono concatenati in una stringa che il sistema esegue direttamente. La pulizia degli input non basta a neutralizzare caratteri speciali come gli apici singoli, e questo apre la strada all’iniezione di codice arbitrario.
In pratica, basta costruire richieste malevole, infilarle nei campi del modulo e ottenere l’esecuzione diretta sul server. Una volta dentro, le conseguenze sono pesanti: creazione di account amministrativi nascosti, installazione di backdoor permanenti, caricamento di web shell, campagne SEO fraudolente, reindirizzamenti verso pagine di phishing e furto di dati dal database. Le analisi delle campagne osservate raccontano che il carico più frequente punta proprio alla generazione automatica di amministratori nascosti, così da mantenere un accesso anche dopo la chiusura della falla.
L’aggiornamento c’è, ma da solo non basta
Lo sviluppatore ha messo a disposizione la versione 1.9.13 il 18 marzo 2026, che chiude il vettore d’attacco conosciuto. Chi gestisce un sito dovrebbe controllare subito quale versione ha installato e aggiornare senza perdere tempo. Attenzione però: aggiornare non vuol dire che un sito già violato torni magicamente pulito.
Se il sito è rimasto scoperto dopo la pubblicazione della patch, servono verifiche più accurate. Conviene cercare account amministrativi creati di recente, passare al setaccio i file nelle cartelle wp-content e wp-admin, controllare i log di accesso e cambiare tutte le credenziali con privilegi elevati. Un Web Application Firewall aiuta a fermare i tentativi di sfruttamento già noti, mentre tenere d’occhio i log in modo costante permette di individuare attività sospette prima che combinino guai veri.
Il caso Everest Forms Pro è l’ennesima conferma di quanto una sola estensione vulnerabile possa trasformarsi nella porta d’ingresso per compromettere un’intera infrastruttura. WordPress resta il CMS più usato al mondo, e proprio per questo è un bersaglio appetitoso. Tenere aggiornati plugin, temi e componenti vari non è un optional, è la difesa più efficace che un amministratore abbia tra le mani.