Lỗ hổng nghiêm trọng trong Everest Forms đe dọa hơn 100.000 website WordPress

[WhiteHat Team]

Hơn 100.000 website sử dụng Everest Forms trên WordPress đang đối mặt nguy cơ chiếm quyền điều khiển hệ thống sau khi một lỗ hổng nghiêm trọng được công bố. Lỗ hổng có mã định danh CVE-2026-3296 với điểm CVSS 9.8, ảnh hưởng đến các phiên bản từ 3.4.3 trở xuống.
​

​

CVE-2026-3296 thuộc dạng PHP Object Injection, phát sinh từ cách xử lý không an toàn metadata của các form entry. Trong file html-admin-page-entries-view.php, hệ thống sử dụng hàm unserialize() của PHP để xử lý dữ liệu lưu trữ nhưng không giới hạn danh sách class được phép thông qua tham số allowed_classes. Việc thiếu ràng buộc này khiến dữ liệu đầu vào có thể bị thao túng để chèn các đối tượng PHP độc hại.

Trong thực tế khai thác, kẻ tấn công chỉ cần gửi một payload dạng serialized object thông qua bất kỳ form công khai nào trên website. Chuỗi dữ liệu này vẫn vượt qua các cơ chế làm sạch thông thường như sanitize_text_field(), do các ký tự đặc trưng của định dạng serialized không bị loại bỏ, sau đó được lưu vào bảng wp_evf_entrymeta trong cơ sở dữ liệu WordPress. Khi quản trị viên truy cập giao diện xem chi tiết entry, dữ liệu bị unserialize sẽ được xử lý, từ đó kích hoạt chuỗi thực thi độc hại.

Điểm đáng lo ngại của CVE-2026-3296 nằm ở việc không yêu cầu xác thực và có thể bị kích hoạt gián tiếp thông qua thao tác xem dữ liệu của quản trị viên. Trong các môi trường tồn tại sẵn “POP chain” (Property-Oriented Programming chains) từ các plugin hoặc theme khác, kịch bản khai thác có thể mở rộng sang thực thi mã tùy ý, cài backdoor hoặc chiếm toàn bộ hệ thống.

Nhà phát triển đã phát hành phiên bản 3.4.4 để khắc phục vấn đề bằng cách loại bỏ việc xử lý unserialize() không an toàn và bổ sung cơ chế kiểm soát dữ liệu đầu vào chặt chẽ hơn. Quản trị viên được khuyến nghị cập nhật ngay lập tức để giảm nguy cơ bị khai thác trên diện rộng.
​

Theo Security Online​