Bedreigingsactoren maken actief misbruik van een kritieke beveiligingsfout in Everest Forms Pro, een WordPress-plug-in met ongeveer 4.000 actieve installaties, om willekeurige code uit te voeren, wat leidt tot een volledig compromis op de site.
De kwetsbaarheid in kwestie is CVE-2026-3300 (CVSS-score: 9,8), een bug bij het uitvoeren van externe code die gevolgen heeft voor alle versies van de plug-in tot en met 1.9.12. Op 18 maart 2026 werd een patch voor de fout uitgebracht, met versie 1.9.13.
“Dit komt doordat de functie process_filter() van Calculation Addon door de gebruiker ingediende formulierveldwaarden samenvoegt in een PHP-codereeks zonder de juiste escape-code voordat deze wordt doorgegeven aan eval()”, aldus Wordfence.
“De functie sanitize_text_field() die op de invoer wordt toegepast, ontsnapt niet aan enkele aanhalingstekens of andere contexttekens van PHP-code. Dit maakt het voor niet-geverifieerde aanvallers mogelijk om willekeurige PHP-code op de server te injecteren en uit te voeren door een vervaardigde waarde in een willekeurig formulierveld van het tekenreekstype (tekst, e-mail, URL, selectie, radio) in te dienen wanneer een formulier de functie ‘Complexe berekening’ gebruikt.
Succesvol misbruik van de kwetsbaarheid zou ervoor kunnen zorgen dat niet-geauthenticeerde kwaadwillenden willekeurige PHP-code op de server kunnen uitvoeren, waardoor ze frauduleuze beheerdersaccounts kunnen aanmaken, webshells kunnen inzetten en andere manieren kunnen openen om dieper in de server te graven en vaste voet aan de grond te krijgen.
Volgens het beveiligingsbedrijf WordPress zijn er vanaf 13 april 2026 aanvallers waargenomen die misbruik maakten van de fout. Tot nu toe zijn meer dan 29.300 exploitpogingen tegen het defect geblokkeerd. Hiervan vonden in de afgelopen 24 uur 16 aanvalspogingen plaats. De meest voorkomende payload omvat pogingen om een beheerdersaccount met de naam “diksimarina” (e-mailadres: [email protected]) aan te maken op de besmette site.
Deze aanvalspogingen zijn afkomstig van de volgende IP-adressen:
- 202.56.2.126
- 209.146.60.26
- 15.235.166.18
- 2402:1f00:8000:800::40db
- 185.78.165.153
Skimmer-aanvallen exploiteren Stripe voor C2
De onthulling komt nadat Sansec waarschuwde voor meerdere skimmercampagnes, waaronder een campagne die Stripe gebruikt als een command-and-control (C2)-server en een data-exfiltratie-sink in een poging de reputatie van het merk te misbruiken en de regels en netwerkfilters van het Content Security Policy te omzeilen.
“De aanvaller beschouwt Stripe als gratis infrastructuur, en niet als een manier om aanklachten wit te wassen”, aldus Sansec. “Stripe geeft ze een beschrijfbare database voor gestolen kaarten en een code-hosting-eindpunt voor de skimmer, beide achter een domein dat door CSP wordt beheerd en dat netwerk standaard vertrouwen filtert.”
De campagne is gebaseerd op Google Tag Manager (GTM) en Stripe-domeinen – googletagmanager.com en api.stripe.com – die beide impliciet worden vertrouwd door online winkels, waarbij de kwaadaardige code wordt geladen vanuit een GTM-container en wordt uitgevoerd op elke pagina die deze laadt.
Op betaalpagina’s van Magento en Adobe Commerce haalt het een versluierde skimmer uit het metagegevensveld van een Stripe-klantaccount (“cus_TfFjAAZQNOYENR”, in dit geval) en slaat de financiële informatie, factuur- en e-mailadressen en telefoonnummers die door nietsvermoedende gebruikers zijn ingevoerd, op in localStorage. De vastgelegde gegevens worden vervolgens teruggesluisd naar het Stripe-account van de aanvaller.
“Elke gestolen kaart wordt een ‘klant’ in het account van de aanvaller”, aldus het e-commerce beveiligingsbedrijf. “Als dit lukt, verwijdert de lader de localStorage-invoer, zodat hetzelfde record niet twee keer wordt verzonden. De aanvaller vermeldt zijn gestolen kaarten later door dezelfde API met dezelfde sleutel aan te roepen. De klantendatabase van Stripe wordt een gratis, duurzame exfiltratie-sink.”
Het Stripe-klantrecord met de skimmer zou op 24 december 2025 zijn aangemaakt, wat aangeeft dat de operatie sindsdien mogelijk actief is geweest. Sansec zei dat het ook een tweede variant van de lader heeft geïdentificeerd die Google Firestore gebruikt in plaats van Stripe, hoewel het einddoel hetzelfde is: een vertrouwde service misbruiken als een geheim kanaal dat waarschijnlijk niet zal worden geblokkeerd door e-commercewinkels.
De bevindingen vallen samen met een grootschalige operatie genaamd GorgonAgora, die een cluster van 5.714 valse .shop-winkels heeft gebruikt die zich voordoen als merken als Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney en Toyota, waarvan de betaalpagina’s gestolen kaartgegevens naar een enkele skimmerserver in Moldavië leiden. De campagne loopt sinds augustus 2025.
“Elke winkel draait dezelfde Medusa.js-commercestack en laadt dezelfde aangepaste betaal-SDK, die een nep Stripe-iframe weergeeft en kaartgegevens via een gecodeerde WebSocket naar een enkele server in Moldavië exfiltreert”, aldus het Nederlandse bedrijf.
“Exfiltratie loopt via WebSocket met een AES-256-GCM-payload, en de C2 onderhoudt een live 3D Secure-relais: wanneer de slachtofferbank een 3DS-uitdaging terugstuurt, stuurt de operator deze via het nep-iframe terug naar de klant, zodat de transactie wordt voltooid en de diefstal onzichtbaar blijft.”
