Everest Forms Pro: Kritische RCE-Lücke (CVE-2026-3300)

Es trifft wieder ein beliebtes Formular-Plugin. Sicherheitsforscher schlagen Alarm: Eine kritische Lücke im WordPress-Plugin Everest Forms Pro lässt Angreifer komplett fremde Seiten übernehmen — ohne Login, ohne Passwort. Und das Schlimmste: Die Angriffe laufen bereits seit Wochen.

GEFAHR: Eine Eingabe reicht für die Übernahme

Die Schwachstelle trägt das Kürzel CVE-2026-3300 und einen der höchstmöglichen Brisanz-Werte überhaupt: CVSS 9.8 von 10. Schuld ist das sogenannte Calculation-Addon. Es baut Werte aus deinen Formularfeldern zu einem PHP-Befehl zusammen und führt ihn aus — ohne die Eingaben sauber zu entschärfen.

Im Klartext: Ein Angreifer tippt seinen Schadcode einfach in ein öffentliches Formular auf deiner Seite. Der Server führt ihn brav aus. So bekommt ein Fremder die Kontrolle über deine Webseite — Daten lesen, Dateien ablegen, Hintertüren einbauen. Alles möglich, ganz ohne Anmeldung.

SCHOCK: 29.000 Angriffe — und ein heimlicher Admin

Das ist keine Theorie. Laut den Sicherheitsforschern wird die Lücke seit dem 13. April aktiv ausgenutzt. Über 29.300 Angriffsversuche wurden bereits blockiert, allein 16 davon in den letzten 24 Stunden.

Besonders perfide: Die Angreifer versuchen, sich heimlich ein neues Administrator-Konto namens „diksimarina“ anzulegen. Wer das auf seiner Seite findet, ist mit hoher Wahrscheinlichkeit bereits gehackt worden. Das Plugin läuft auf rund 4.000 Seiten — jede davon ein potenzielles Ziel.

So rettest du deine Seite in 2 MINUTEN

Die gute Nachricht zuerst: Der Patch ist längst da. Version 1.9.13 schließt die Lücke und wurde bereits am 18. März veröffentlicht. Wer noch eine ältere Version fährt, steht offen wie ein Scheunentor.

Dein Notfallplan:

Sofort aktualisieren: Im WordPress-Backend unter Plugins auf Everest Forms Pro 1.9.13 oder neuer gehen.
Benutzerliste prüfen: Gibt es einen unbekannten Admin (Stichwort „diksimarina“)? Sofort löschen und alle Passwörter neu setzen.
Logs checken: Auffällige PHP-Dateien im Upload-Ordner oder seltsame Cronjobs sind ein Warnsignal.

EXTRA-TIPP: Aktiviere automatische Updates für sicherheitskritische Plugins. Genau solche „Ich-update-später“-Lücken sind das Lieblingsziel von Angreifern.

Häufige Fragen

Welche Versionen sind betroffen?

Verwundbar sind alle Versionen von Everest Forms Pro bis einschließlich 1.9.12. Sicher bist du erst ab Version 1.9.13, die am 18. März 2026 erschienen ist. Die kostenlose Basis-Variante ohne das Calculation-Addon ist nach aktuellem Stand nicht über diesen Weg angreifbar.

Wie merke ich, ob meine Seite schon gehackt wurde?

Ein deutliches Alarmzeichen ist ein neues, unbekanntes Administrator-Konto — die Angreifer nutzen häufig den Namen „diksimarina“. Prüfe außerdem den Upload-Ordner auf fremde PHP-Dateien und die Cronjobs auf unbekannte Einträge. Im Zweifel hilft ein Sicherheits-Scan-Plugin.

Reicht es, das Addon zu deaktivieren?

Das senkt das Risiko, weil die Lücke im Calculation-Addon steckt. Sauber bist du aber erst nach dem Update auf 1.9.13. Deaktivieren ist nur eine Notlösung, falls du nicht sofort aktualisieren kannst.

Gab es schon echte Angriffe?

Ja. Die Schwachstelle wird seit dem 13. April aktiv ausgenutzt, über 29.300 Angriffsversuche wurden bereits blockiert. Wer ungepatcht ist, sollte das Update als dringend einstufen.

FORMULAR-FALLE! Dieses WordPress-Plugin schenkt Hackern JETZT die KOMPLETTE Kontrolle — 29.000 Angriffe laufen schon