Resumen
Everest Forms Pro 1.9.12 y anteriores tienen una vulnerabilidad crítica de ejecución remota de código. Wordfence la marca como CVSS 9.8 y The Hacker News informa de explotación activa.
Actualización rápida: CVE-2026-3300 afecta a Everest Forms Pro, un plugin de formularios para WordPress. La vulnerabilidad permite ejecución remota de código sin autenticación cuando se usa la función de cálculo complejo en formularios vulnerables.
Qué pasó
Wordfence clasifica CVE-2026-3300 como crítica, con CVSS 9.8. El fallo está en Everest Forms Pro hasta la versión 1.9.12 incluida y se debe a una ruta de cálculo que puede acabar ejecutando PHP construido con valores enviados por usuarios.
El registro de Wordfence indica que el problema está parcheado en Everest Forms Pro 1.9.13. The Hacker News publicó el 5 de junio de 2026 que actores maliciosos ya están explotando esta vulnerabilidad, citando actividad observada por Wordfence desde abril y decenas de miles de intentos bloqueados.
A quién afecta
- Sitios WordPress con Everest Forms Pro 1.9.12 o anterior.
- Instalaciones con formularios que usan la función Complex Calculation.
- Agencias o equipos que mantienen muchos WordPress y no tienen inventario centralizado de plugins premium.
Por qué importa
Una RCE sin autenticación puede convertirse en compromiso completo del sitio: creación de administradores falsos, subida de web shells, persistencia o movimiento hacia otros recursos del servidor. En entornos multi-sitio, el riesgo operativo está en no saber rápido dónde está instalado el plugin, qué versión corre cada cliente y qué sitios requieren revisión manual.
Qué hacer ahora
- Buscar Everest Forms Pro en todos los sitios gestionados.
- Actualizar a 1.9.13 o superior si el plugin está instalado.
- Revisar formularios con cálculo complejo y desactivar temporalmente esa función si no se puede actualizar de inmediato.
- Auditar usuarios administradores recientes, archivos modificados, plugins instalados, tareas programadas y actividad sospechosa desde abril de 2026.
- Priorizar primero sitios públicos con formularios activos, tiendas, captación de leads o alto volumen de tráfico.
Cómo priorizarlo en multi-sitio
Para agencias, el orden práctico es inventario, parche, verificación y seguimiento. No basta con mandar una alerta genérica: hay que saber qué clientes usan el plugin, cuál es la versión real, si hay señales de cambios no autorizados y quién necesita una acción urgente.
Vulnity no debe presentarse como detector específico de CVEs de plugins. El encaje honesto aquí es operativo: centralizar visibilidad multi-sitio, acelerar la respuesta, revisar hardening, detectar actividad sospechosa y ayudar a bloquear IPs maliciosas cuando hay señales de ataque.
Fuentes
- Wordfence Intelligence: CVE-2026-3300 en Everest Forms Pro
- NVD: CVE-2026-3300
- The Hacker News: explotación activa de Everest Forms Pro
- Everest Forms changelog
Sobre Vulnity
Si gestionas un WordPress, situaciones como la descrita en este artículo son más comunes de lo que parece. Vulnity monitoriza tu instalación en tiempo real y te avisa antes de que ocurran.
