Celah Keamanan Kritis Everest Forms Pro Dieksploitasi untuk Ambil Alih Situs WordPress

Para peretas saat ini tengah aktif mengeksploitasi celah keamanan dengan tingkat keparahan kritis (critical vulnerability) pada plugin Everest Forms Pro. Kerentanan ini memungkinkan penyerang jarak jauh untuk mengambil alih kendali penuh atas situs web berbasis WordPress yang menjadi korban.

Celah keamanan yang dilacak dengan kode CVE-2026-3300 ini berdampak pada versi 1.9.12 dan versi sebelumnya dari plugin komersial tersebut. Serangan dapat dilancarkan secara instan tanpa memerlukan proses masuk atau otentikasi hak akses (unauthenticated) untuk mengeksekusi kode berbahaya secara acak di server korbannya.

Mekanisme Serangan: Injeksi Kode PHP Lewat Fungsi ‘eval()’

Everest Forms Pro merupakan add-on berbayar populer yang digunakan untuk membangun berbagai formulir kustom pada WordPress, seperti form kontak, registrasi, hingga pembayaran.

Berdasarkan laporan investigasi teknis, akar masalah dari CVE-2026-3300 bersumber dari kegagalan validasi pada fitur Complex Calculation (Perhitungan Kompleks) di dalam plugin:

• Input Tidak Terekstrak Sempurna: Fitur ini menerima nilai numerik atau teks yang dimasukkan pengguna melalui kolom formulir, lalu memasukkannya ke dalam rentetan kode string PHP. Sistem kemudian mengeksekusi string tersebut menggunakan fungsi bawaan PHP eval().
• Kelemahan Sanitasi Teks: Meskipun pengembang sudah menggunakan fungsi bawaan WordPress sanitize_text_field() untuk menyaring input, fungsi tersebut ternyata tidak menyaring karakter tanda kutip tunggal (‘) atau karakter sintaksis PHP krusial lainnya.
• Manipulasi String: Penyerang dapat memasukkan tanda kutip tunggal untuk memutus string literal legal di server, menyisipkan perintah PHP berbahaya kustom mereka sendiri, lalu menutup sisa kode asli dengan simbol komentar (//) agar tidak memicu error sistem.

Taktik Peretas: Membuat Akun Admin Palsu “diksimarina”

Data pemantauan (telemetry data) dari sistem pertahanan siber WordPress, Wordfence, mengungkap bahwa para peretas memanfaatkan celah eksekusi kode ini untuk memalsukan hak akses tertinggi di situs korban.

Kronologi Eksekusi Akun Siluman:

1. Peretas mengirimkan paket data formulir yang berisi kode perintah fungsi internal WordPress wp_insert_user().
2. Ketika formulir tersebut diproses dan kalkulasi otomatis dieksekusi oleh server, fungsi selundupan tersebut otomatis berjalan di latar belakang.
3. Hasilnya, sistem secara mandiri akan menciptakan sebuah akun pengguna baru ber-level Administrator dengan nama pengguna (username) ‘diksimarina’.

Dengan memegang hak akses setingkat Administrator, peretas memiliki kekuasaan mutlak untuk mengacak-acak situs web korban, meliputi modifikasi konten, instalasi tema/plugin berbahaya, penanaman pintu belakang (backdoors/webshells), hingga menguras basis data (database) sensitif milik perusahaan.

Garis Waktu Eksploitasi dan Catatan IP Penyerang

Celah keamanan berbahaya ini awalnya ditemukan dan dilaporkan oleh peneliti siber bernama h0xilo melalui program bug bounty Wordfence pada bulan Februari. Pengembang Everest Forms sendiri sebenarnya telah merilis pembaruan patch keamanan untuk menutup celah ini pada 18 Maret.

Namun, gelombang serangan liar di internet dilaporkan baru mulai pecah pada 13 April. Hingga saat ini, sistem firewall Wordfence tercatat telah berhasil menghadang lebih dari 29.300 upaya serangan yang mencoba memanfaatkan celah CVE-2026-3300.

Berdasarkan analisis forensik digital, mayoritas serangan agresif ini terdeteksi berasal dari dua alamat IP utama yang bertindak sebagai Indikator Kompromi (IOCs):

• 202.56.2.126
• 209.146.60.26

Langkah Mitigasi untuk Administrator Situs

Bagi para pemilik situs web dan administrator IT yang mengintegrasikan plugin Everest Forms Pro, sangat disarankan untuk segera mengambil tindakan pencegahan berikut guna menghindari risiko peretasan:

1. Perbarui Plugin Segera: Pastikan plugin Everest Forms Pro Anda sudah ditingkatkan ke versi di atas 1.9.12 (sangat direkomendasikan versi paling mutakhir saat ini).
2. Audit Daftar Pengguna (Users): Masuk ke dasbor WordPress Anda dan periksa dengan teliti daftar akun pengguna yang memiliki hak akses Administrator. Jika Anda menemukan akun mencurigakan seperti ‘diksimarina’ atau nama asing lainnya yang tidak dikenal, segera hapus akun tersebut.
3. Blokir IP Penyerang: Tambahkan alamat IP 202.56.2.126 dan 209.146.60.26 ke dalam daftar blokir (blacklist) pada firewall atau file .htaccess server Anda.
4. Periksa Log Server: Tinjau kembali file log aktivitas server web untuk melihat apakah ada aktivitas mencurigakan yang mengarah pada eksekusi file formulir dalam beberapa pekan terakhir.

Sumber: Buletin Intelijen Ancaman Wordfence / Laporan Kerentanan CVE-2026-3300