Hacker nutzen WordPress-Plugin-Schwachstelle zur Einbringung bösartiger PHP-Code

Trotz der Verfügbarkeit einer Reparatur haben Bedrohungsakteure ab dem 13. April 2026 unpatchte Installationen aktiv angegriffen. Laut Daten der Wordfence Threat Intelligence wurden mehr als 29.300 Ausnutzungsversuche blockiert, wobei allein am 16. Mai ein signifikanter Anstieg von über 17.900 Angriffen registriert wurde.

Ausnutzung Problems liegt in der „Complex Calculation"-Funktion des Plugins, genauer gesagt innerhalb der Prozess_filter()-Funktion. Diese Funktion erstellt dynamisch PHP-Code durch das Anhängen wertet diesen anschließend mit der gefährlichen eval()-Funktion aus.

Obwohl die Eingabe mit sanitize_text_field() verarbeitet wird, entgeht dem Code das Escape kritischer Zeichen wie einzelner Anführungszeichen, was Angreifern ermöglicht, den String-Kontext zu umgehen und bösartigen PHP-Code einzuschleusen.

Technischer Hintergrund

Dieser Designfehler ermöglicht es nicht authentifizierten Angreifern, über Standard-Feldtypen wie Text, E-Mail, URL, Auswahllisten und Radio-Buttons bösartige Payloads zu konstruieren. Durch das Einfügen eines einzelnen Anführungszeichens, gefolgt Kommentar, können Angreifer den generierten Code manipulieren und dessen Ausführung auf dem Server erzwingen.

Beobachtete Angriffsmuster zeigen, dass Bedrohungsakteure diese Schwachstelle primär nutzen, um illegitime Administrator-Konten zu erstellen. Bei einem häufigen Ausnutzungsversuch injizieren Angreifer PHP-Code, der die WordPress-Funktion wp_insert_user() aufruft, um einen neuen Administrator-Benutzer mit dem Benutzernamen „diksimarina" zu erstellen.

Sobald der administrative Zugriff etabliert ist, können Angreifer Webshells hochladen, Site-Inhalte ändern, Backdoors bereitstellen oder weiter in die Hosting-Umgebung eindringen.

Technik und Auswirkungen

Sicherheitstelemetrie hat mehrere IPs identifiziert, die aktiv Everest Forms Pro ausnutzen, was Tausenden von bösartigen Anfragen führte und als starke Indikatoren für Kompromittierung (IOCs) für Block- und Überwachungsmaßnahmen dient. Hochaktive bösartige IP-Adressen: 202.56.2[.]126: Zehntausende blockierter Anfragen.

209.146.60[.]26: Mehrere tausend Ausnutzungsversuche. 15.235.166[.]18: Hunderte bösartiger Anfragen. 2402:1f00:8000[:].800::40db: Aktive IPv6-Ausnutzungsaktivität. 185.78.165[.]153: Bestätigte feindliche Scan-Aktivität.

Die Angriffe zielen typischerweise auf den Endpunkt /wp-admin/admin-ajax.php ab, indem speziell gestaltete POST-Anfragen übermittelt werden, die darauf ausgelegt sind, die anfällige Berechnungslogik auszunutzen.

Sicherheitslage und Risiko

Die Schwachstelle stellt ein erhebliches Risiko dar, da sie keine Authentifizierung erfordert und über öffentlich zugängliche Formulare aus der Ferne ausgelöst werden kann. Alle Websites, die Everest Forms Pro mit der Funktion „Complex Calculation" verwenden, sind besonders exponiert. Kunden 27.

Februar 2026 einen frühen Schutz durch Firewall-Regeln, während kostenlose Nutzer ab dem 29. März 2026 geschützt wurden. Der alleinige Rückgriff auf virtuelle Patches ist jedoch unzureichend; die Aktualisierung auf die neueste gepatchte Version 1.9.13 bleibt entscheidend, um das Risiko vollständig zu mindern.

Website-Administratoren werden dringend aufgefordert, das Plugin unverzüglich zu aktualisieren, Benutzerkonten auf unbefugte Administrator-Erstellungen zu überprüfen und Server-Logs auf verdächtige Anfragen zu prüfen.

Sicherheitslage und Risiko

Indikatoren für einen Kompromittierungsumfang sind unbekannte Administrator-Benutzer, insbesondere solche, die beobachteten Angriffsmustern entsprechen, sowie Anfragen aus bekannten bösartigen IP-Adressen.

Angesichts der aktiven Ausnutzung und der geringen Angriffsbarriere stellt diese Schwachstelle eine Bedrohung mit hohem Impact für WordPress-Umgebungen dar und unterstreicht die Notwendigkeit rechtzeitiger Patches sowie kontinuierlicher Überwachung. Abi ist Security-Editorin und Reporterin bei