สรุปสั้น

ช่องโหว่ CVE-2026-3300 ใน Everest Forms Pro เป็น Remote Code Execution (RCE) ที่ได้คะแนน CVSS 9.8 ระดับ Critical กระทบทุกเวอร์ชันจนถึง 1.9.12 และมีผู้ใช้งานอยู่กว่า 4,000 เว็บไซต์ทั่วโลก แฮ็กเกอร์ที่โจมตีส่วนใหญ่พยายามสร้างบัญชีผู้ดูแลระบบปลอมชื่อ “diksimarina” เพื่อเข้าควบคุมเว็บไซต์ทั้งหมด บริษัท Wordfence รายงานว่าบล็อกการโจมตีได้กว่า 29,300 ครั้งแล้วนับตั้งแต่ 13 เมษายน 2569

แพตช์เผยแพร่แล้วเมื่อวันที่ 18 มีนาคม 2569 ในเวอร์ชัน 1.9.13 แต่หลายเว็บไซต์ยังไม่ได้อัปเดต ความรุนแรงสูงมากเนื่องจากไม่ต้องล็อกอินก็โจมตีได้ (Unauthenticated RCE) ผู้ดูแลเว็บไซต์ WordPress ที่ใช้ plugin นี้ต้องอัปเดตทันที

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 ว่า ผู้ไม่หวังดีกำลังโจมตีช่องโหว่ CVE-2026-3300 ใน Everest Forms Pro ซึ่งเป็น WordPress plugin สำหรับสร้างแบบฟอร์มออนไลน์ที่มีผู้ใช้งานกว่า 4,000 เว็บไซต์ทั่วโลก บริษัทความปลอดภัย Wordfence รายงานว่าพบการโจมตีจริงครั้งแรกในวันที่ 13 เมษายน 2569 และนับถึงวันที่รายงาน มีความพยายามโจมตีถูกบล็อกไปแล้วกว่า 29,300 ครั้ง ในจำนวนนั้น 16 ครั้งเกิดขึ้นใน 24 ชั่วโมงก่อนหน้า ความรุนแรงของช่องโหว่นี้อยู่ในระดับ Critical ด้วยคะแนน CVSS 9.8 เนื่องจากผู้โจมตีที่ไม่ได้ล็อกอินสามารถรันโค้ด PHP ใดๆ ก็ได้บนเซิร์ฟเวอร์ ซึ่งนำไปสู่การยึดครองเว็บไซต์ได้ทั้งหมด IP ที่พบว่าโจมตีบ่อยที่สุด ได้แก่ 202.56.2.126, 209.146.60.26, 15.235.166.18 และอื่นๆ

รายละเอียดช่องโหว่

ต้นเหตุของช่องโหว่คือฟังก์ชัน process_filter() ใน Calculation Addon ของ plugin ซึ่งนำค่าที่ผู้ใช้กรอกลงในฟิลด์แบบฟอร์มมาต่อเป็นสตริงโค้ด PHP แล้วส่งให้ eval() ประมวลผล ปัญหาคือฟังก์ชัน sanitize_text_field() ที่ใช้กรองค่าไม่ได้ escape เครื่องหมาย single quote หรืออักขระพิเศษในบริบท PHP ดังนั้นผู้โจมตีสามารถส่งค่าที่ฝัง PHP code ไว้ในฟิลด์ประเภท text, email, URL, select หรือ radio บนแบบฟอร์มใดก็ได้ที่ใช้ฟีเจอร์ “Complex Calculation” เพื่อรันโค้ดตามต้องการ ผลที่ตามมา ได้แก่ การสร้างบัญชี administrator ปลอม, การฝัง web shell, การเข้าถึงฐานข้อมูล และการสร้าง backdoor ถาวรบนเซิร์ฟเวอร์

ผลกระทบต่อไทย

WordPress ครองส่วนแบ่งตลาด CMS มากกว่า 40% ทั่วโลก รวมถึงเว็บไซต์ของธุรกิจ SME, หน่วยงานราชการ และสถาบันการศึกษาในไทยจำนวนมาก Everest Forms Pro เป็น plugin ที่นิยมใช้ในเว็บไซต์อีคอมเมิร์ซและองค์กรที่ต้องการแบบฟอร์มซับซ้อน หากเว็บไซต์ไทยที่ยังไม่ได้อัปเดตถูกโจมตี ผู้โจมตีสามารถขโมยข้อมูลลูกค้า, ข้อมูลการชำระเงิน หรือใช้เซิร์ฟเวอร์เป็นฐานโจมตีต่อได้ ขอบเขตของช่องโหว่ครอบคลุมแบบฟอร์มทุกประเภทที่ใช้ฟีเจอร์คำนวณขั้นสูง ซึ่งอาจรวมถึงแบบฟอร์มราคาสินค้า, ใบเสนอราคา หรือแบบฟอร์มสมัครสมาชิกที่คำนวณค่าอัตโนมัติ

คำแนะนำ

อัปเดต Everest Forms Pro เป็นเวอร์ชัน 1.9.13 ทันที — นี่คือสิ่งเดียวที่จำเป็นต้องทำก่อน สำหรับเว็บไซต์ที่ยังไม่สามารถอัปเดตได้ทันที ควรปิดการใช้งานฟีเจอร์ Complex Calculation ชั่วคราวและตรวจสอบล็อกเซิร์ฟเวอร์เพื่อหารอยโจมตี โดยเฉพาะการสร้างบัญชีใหม่ที่มีชื่อ “diksimarina” หรืออีเมล “diksimarina@gmail.com ” ซึ่งเป็น payload ที่พบบ่อยที่สุด ตั้งค่า Web Application Firewall (WAF) เพื่อบล็อก IP ที่พบว่าโจมตี และเปิดใช้งาน Wordfence หรือเครื่องมือสแกนช่องโหว่บน WordPress เป็นประจำ

IoCs

ประเภทค่าคำอธิบาย
IP Address202.56.2.126Attack source IP
IP Address209.146.60.26Attack source IP
IP Address15.235.166.18Attack source IP
IP Address2402:1f00:8000:800::40dbAttack source IPv6
IP Address185.78.165.153Attack source IP
UsernamediksimarinaRogue admin account created by attackers
Emaildiksimarina@gmail.comEmail used with rogue admin account

แหล่งอ้างอิง