Bestellen
Hosting
Domeinnaam
Ondersteuning
Ontdek

Op deze pagina

Blog / Beveiliging · · ~13 min lezen

Everest Forms Pro kwetsbaarheid beveiligen: CVE-2026-3300

Kritieke RCE-fout CVE-2026-3300 in Everest Forms Pro wordt actief misbruikt. Leer hoe je jouw WordPress-formulieren beschermt en schade voorkomt.

Geschreven door: Pablo Cleij Pablo Cleij
Deel dit artikel

Samenvatting: Everest Forms Pro kwetsbaarheid beveiligen

CVE-2026-3300 is een kritieke Remote Code Execution-fout (CVSS 9.8) in Everest Forms Pro versies t/m 1.9.12. Via de Complex Calculation-addon voert de plugin gebruikersinvoer uit als PHP-code via eval(), zonder dat een aanvaller hoeft in te loggen. Update direct naar versie 1.9.13, controleer op nep-beheerdersaccounts (gebruikersnaam diksimarina) en scan wp-content/uploads/ op onbekende PHP-bestanden.

Op 5 juni 2026 berichtte The Hacker News dat een kritieke fout in Everest Forms Pro actief wordt misbruikt door aanvallers.[1] De kwetsbaarheid geeft elke bezoeker van een publieke pagina de mogelijkheid om volledige controle over jouw server te nemen, zonder enig wachtwoord of account. Als je Everest Forms Pro gebruikt, moet je nu handelen.

In dit artikel lees je wat er technisch precies misgaat, hoe je controleert of jouw site al getroffen is en welke stappen je vandaag kunt nemen om verdere schade te voorkomen.

Een groot hangslot op een zwaar hek, terwijl een figuur ongestoord door een kleine opening naast het hek stapt

Wat is er aan de hand? De CVE-2026-3300-kwetsbaarheid uitgelegd

CVE-2026-3300 is een Remote Code Execution (RCE)-kwetsbaarheid in de betaalde versie van het Everest Forms-plugin voor WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren., ontwikkeld door WPEverest. De officiële CVSS-score is 9.8 van de 10, wat "Kritiek" betekent: de drempel voor misbruik is nul, de impact maximaal.[5]

De feiten op een rij:

  • Wordfence blokkeerde meer dan 29.300 exploitpogingen op WordPress-sites wereldwijd.[2]
  • Op 16 mei 2026 piekte het aantal aanvallen tot 17.900 op één dag.[2]
  • Slechts circa 4.000 actieve installaties van Everest Forms Pro bestaan wereldwijd: elke installatie werd gemiddeld tientallen keren aangevallen.[6]
  • Één IP-adres, 202.56.2.126, is verantwoordelijk voor meer dan 26.300 van die pogingen.[3]

Dit is geen theoretische dreiging. Aanvallers scannen actief het internet op kwetsbare installaties via geautomatiseerde tools. Als jouw plugin niet gepatcht is, is het een kwestie van tijd voordat ook jouw site wordt bereikt.

Let op: geen patch, geen bescherming

  • De enige echte fix is updaten naar versie 1.9.13 of hoger.
  • Een Web Application Firewall vermindert het risico, maar vervangt de update niet.
  • Een gehackte site heeft na verwijdering van het nep-account mogelijk nog steeds actieve backdoors.

Hoe werkt de aanval? De eval()-fout in de Calculation Addon

De kwetsbaarheid zit in de Complex Calculation-addon van Everest Forms Pro. Met deze functie kunnen formulierbeheerders berekeningen instellen op basis van veldwaarden, bijvoorbeeld een totaalprijs berekenen uit geselecteerde opties. Handig als het goed is geïmplementeerd, maar in dit geval fundamenteel onveilig.

De technische oorzaak in begrijpelijke taal

De functie process_filter() neemt de waarden die een bezoeker in het formulier invult, plakt ze samen tot een PHPKeurigOnline zegtPHPPHP (Hypertext Preprocessor) is een populaire open-source scripttaal die speciaal is ontworpen voor webontwikkeling en server-side programmering.-code-string en geeft die string rechtstreeks door aan de PHP-functie eval().[4] Met eval() voert PHP die string uit als echte programmacode.

Het probleem: de invoer wordt gesaneerd via WordPress' standaardfunctie sanitize_text_field(). Die verwijdert HTMLKeurigOnline zegtHTMLHTML is de programmeertaal voor het maken van webpagina’s.-tags, maar laat enkelvoudige aanhalingstekens (') en andere PHP-syntaxtekens intact. Een aanvaller hoeft een formulierveld alleen te beginnen met een apostrof om de PHP-string vroegtijdig te sluiten. Daarna kan willekeurige PHP-code volgen:

'); wp_insert_user(['user_login'=>'diksimarina','user_pass'=>'...','role'=>'administrator']); //

PHP voert deze code uit als ware het reguliere serverprogrammering. In dit geval wordt een nieuw beheerdersaccount aangemaakt, zonder dat de aanvaller ooit was ingelogd.[3]

Waarom dit zo gevaarlijk is

De aanval werkt volledig zonder authenticatie. Elke bezoeker van een publieke webpagina met een formulier waarop de Complex Calculation-functie actief staat, kan dit triggeren. Er is geen account nodig, geen captchaKeurigOnline zegtCaptchaCaptcha is een beveiligingstest die onderscheid maakt tussen mensen en geautomatiseerde programma's (bots). te omzeilen, geen beheerderstoegang vereist. Een gewoon HTTPKeurigOnline zegtHTTPHTTP (HyperText Transfer Protocol) is het protocol dat de communicatie tussen webclients en servers mogelijk maakt.-verzoek met een kwaadaardig veldwaarde is genoeg.

Het feit dat de aanval via een regulier contactformulier verloopt, bemoeilijkt ook detectie: het verkeer ziet er in eerste instantie uit als gewoon formuliergebruik.

Waarom eval() gevaarlijk is bij gebruikersinvoer

Het uitvoeren van gebruikersinvoer via eval() geldt in de beveiligingswereld als een fundamenteel antipatroon, ook wel "Code Injection" genoemd. De correcte aanpak is het evalueren van berekeningen via een wiskundige parser die nooit PHP-code uitvoert, ongeacht wat de gebruiker invoert.

Wie loopt risico? Kwetsbare versies en de Complex Calculation-addon

Niet elke WordPress-site met een formulier-plugin loopt direct risico. De kwetsbaarheid is specifiek voor Everest Forms Pro, de betaalde versie, en alleen wanneer de Complex Calculation-addon is ingeschakeld op een formulier.

Versietabel

Versie Status
Everest Forms Pro 1.9.12 en ouder Kwetsbaar voor CVE-2026-3300
Everest Forms Pro 1.9.13 en nieuwer Gepatcht (uitgebracht 18 maart 2026)
Everest Forms (gratis versie) Niet kwetsbaar voor CVE-2026-3300; wél voor CVE-2026-3296 (apart gepatcht)

Controleer je versie via WordPress-dashboard > Plugins. Staat er een versienummer van 1.9.12 of lager? Update dan onmiddellijk via het tabblad Updates.[5]

Het 26-dagen-patroon: hoe aanvallers premium plugins targeten

De patch voor CVE-2026-3300 verscheen op 18 maart 2026. Actieve exploitatie begon pas op 13 april 2026, precies 26 dagen later.[6] Dat patroon is bewust: aanvallers lezen de changelog van de nieuwe versie, reverse-engineren wat er exact gerepareerd is en bouwen vervolgens een exploittool. Tegen de tijd dat de geautomatiseerde aanvalsgolf losbarst, hebben veel beheerders nog niet geüpdatet.

Premium plugins vormen een specifiek risico in dit patroon. Updates verschijnen niet automatisch via WordPress.org, maar vereisen een actieve licentie en een bewuste handeling van de beheerder. Betaalde plugins worden daardoor gemiddeld trager geüpdatet dan gratis alternatieven, terwijl hun changelogs voor aanvallers even openbaar en leesbaar zijn.

Is jouw site al getroffen? Zo controleer je op aanwijzingen van een hack

Als je Everest Forms Pro versie 1.9.12 of ouder gebruikte en de Complex Calculation-addon actief had staan, moet je ervan uitgaan dat jouw site mogelijk al aangevallen is. Voer deze drie controles uit voordat je verder gaat.

Stap 1: controleer de WordPress-gebruikerslijst

Ga naar WordPress-dashboard > Gebruikers en zoek op de gebruikersnaam diksimarina of het e-mailadresKeurigOnline zegtE-mailadresEen e-mailadres is een uniek digitaal adres in het formaat naam@domein.nl voor het versturen en ontvangen van elektronische berichten. diksimarina@gmail.com.[3] Staat die er? Verwijder het account direct. Controleer daarna ook alle andere accounts met de rol "Beheerder" op herkenbaarheid.

Let op: het verwijderen van het nep-account is niet genoeg

  • Een succesvolle aanval laat vrijwel altijd backdoors achter die actief blijven na verwijdering van het nep-account.
  • Aanvallers installeren webshells in wp-content/uploads/ en voegen extra plugins toe via de nieuw verkregen beheerderstoegang.
  • Behandel een positieve hit als een volledige compromittering: herstel vanuit een schone back-up van vóór de aanval.

Stap 2: scan de uploads-map op PHP-bestanden

De map wp-content/uploads/ bevat normaal gesproken uitsluitend afbeeldingen en mediabestanden. Elk .php-bestand dat je hier aantreft, is een webshell of backdoor geplaatst door een aanvaller. Gebruik je hosting-bestandsbeheer of SSHKeurigOnline zegtSSHSSH (Secure Shell) is een beveiligingsprotocol voor versleutelde externe toegang tot computers en servers. om de map te doorzoeken:

find wp-content/uploads/ -name "*.php" -type f

Elke match is een ernstige bevinding. Verwijder de bestanden en herstel de volledige site vanuit een bekende schone back-up.

Stap 3: controleer serverlogboeken op aanvals-IP's

Zoek in je serverlogboeken op verzoeken van de IP-adressen 202.56.2.126 en 209.146.60.26.[4] Een treffer betekent dat jouw site aangevallen is. Of die aanval ook slaagde, hangt af van je versie en configuratie op het moment van het verzoek, maar verdere inspectie is noodzakelijk.

Bij KeurigOnline heb je via het hostingpaneel directe toegang tot je toegangslogboeken. Kom je er niet uit, neem dan contact op met onze support voor hulp bij het interpreteren van de logboeken.

Stap-voor-stap: zo beveilig je Everest Forms Pro nu

Hieronder staan de acties in volgorde van prioriteit. Stap 1 is de enige definitieve fix. De overige stappen zijn aanvullende verdedigingslagen die ook bij toekomstige kwetsbaarheden bescherming bieden.

Everest Forms Pro beveiligen in 5 stappen

  1. Update naar versie 1.9.13 of hoger. Ga naar WordPress-dashboard > Plugins > Updates en installeer de beschikbare update voor Everest Forms Pro. Dit is de enige definitieve oplossing voor CVE-2026-3300.
  2. Schakel de Complex Calculation-addon uit als je die niet zakelijk gebruikt. Ga naar de instellingen van Everest Forms Pro en deactiveer de addon. Dit verkleint het aanvalsoppervlak ook als je later een kwetsbare versie draait, en kost niets als je de berekeningen toch niet nodig hebt.
  3. Controleer en herstel beheerdersaccounts. Verwijder onbekende accounts en reset de wachtwoorden van alle legitieme beheerders. Gebruik een wachtwoordmanager voor beheerdersaccounts om sterke, unieke wachtwoorden te genereren en veilig op te slaan.
  4. Stel automatische updates in voor premium plugins. Ga naar Plugins > Geïnstalleerde plugins en klik bij elke betaalde plugin op "Automatische updates inschakelen". Dit staat voor premium plugins vaak niet standaard aan en vereist een actieve licentieverbinding.
  5. Activeer een Web Application Firewall (WAF). Wordfence (gratis basisversie beschikbaar) en Cloudflare blokkeren bekende aanvals-IP's en kwaadaardige payloads proactief, ook bij toekomstige kwetsbaarheden die nog niet gepatcht zijn.

Wat als je site al gehackt is?

Updaten naar 1.9.13 sluit de voordeur, maar richt de bestaande schade niet. Als je bij de controles uit het vorige onderdeel aanwijzingen hebt gevonden van een geslaagde aanval, doorloop dan de volgende stappen:

  1. Herstel de site vanuit een schone back-up van vóór de aanval. Een back-up van ná de aanval bevat mogelijk al backdoors en is onbetrouwbaar.
  2. Wijzig alle wachtwoorden: WordPress-admin, databaseKeurigOnline zegtDatabaseEen database is een georganiseerde verzameling gegevens die elektronisch wordt opgeslagen en beheerd., FTPKeurigOnline zegtFTPFTP (File Transfer Protocol) is een protocol voor het overdragen van bestanden tussen computers via een netwerk./SSHKeurigOnline zegtSSHSSH (Secure Shell) is een beveiligingsprotocol voor versleutelde externe toegang tot computers en servers. en hosting.
  3. Scan de volledige bestandsstructuur op onbekende of recent gewijzigde bestanden via Wordfence of via je hostingprovider.
  4. Controleer wp-config.php en .htaccess op kwaadaardige toevoegingen of onbekende code.
  5. Informeer je hostingprovider, zodat zij de serverkant kunnen controleren op diepere compromittering.

Bredere les: waarom WordPress-plugins zo vaak kwetsbaar zijn

CVE-2026-3300 staat niet op zichzelf. WordPress-plugins zijn structureel het meest aangevallen onderdeel van het web.

De cijfers zijn ontnuchterend

Volgens het Patchstack State of WordPress Security 2026-rapport zit 91% van alle WordPress-kwetsbaarheden in plugins, niet in WordPress zelf.[7] In 2025 werden 11.334 nieuwe kwetsbaarheden ontdekt in het WordPress-ecosysteem, een stijging van 42% ten opzichte van 2024.[7] Zorgwekkend daarbij: 46% van die kwetsbaarheden had geen beschikbare patch op het moment dat ze openbaar werden gemaakt.[7]

Bovendien draait 52,8% van alle WordPress-sites op minstens één plugin met een bekende CVE.[8] De kans dat jouw site op dit moment een kwetsbare plugin heeft draaien, is dus groter dan één op twee.

Premium plugins zijn geen garantie voor veiligheid

Een veelvoorkomende aanname is dat betaalde plugins beter onderhouden en daarmee veiliger zijn dan gratis alternatieven. CVE-2026-3300 toont het tegendeel. De updatemelding voor premium plugins verschijnt niet automatisch via WordPressKeurigOnline zegtWordPressWordPress is een open-source contentmanagementsysteem (CMS) geschreven in PHP, waarmee je eenvoudig websites en blogs kunt bouwen en beheren..org, maar vereist een actieve licentie en een bewuste actie van de beheerder. Tegelijkertijd zijn de changelogs van betaalde plugins openbaar, wat aanvallers precies vertelt wat er gerepareerd is.

Goed WordPress-beheer en onderhoud omvat niet alleen snelheid en prestaties, maar ook het tijdig updaten van alle plugins, inclusief premium exemplaren.

De Nederlandse context

Nederland heeft de hoogste WordPress-dichtheid ter wereld: naar schatting 591.000 actieve WordPress-sites, met een CMSKeurigOnline zegtCMSEen CMS is een platform om webcontent eenvoudig te creëren, beheren en publiceren zonder te coderen.-marktaandeel van 84,5% van alle websites in Nederland.[9] Dat maakt Nederland tot een bijzonder aantrekkelijk doelwit voor geautomatiseerde aanvallen die specifiek het WordPress-ecosysteem targeten. Als jouw site draait op een Nederlandse hostingpartner, betekent dat niet dat je beschermd bent: de aanvallen zijn internationaal en raak jou via het plugin-ecosysteem.

Aanvullende beveiligingsmaatregelen voor je WordPress-site

De stappen in het vorige onderdeel zijn specifiek voor CVE-2026-3300. Hieronder staan maatregelen die jouw WordPress-site structureel veiliger maken, ongeacht welke kwetsbaarheid er als volgende opduikt.

Twee-factor-authenticatie op beheerdersaccounts

wachtwoordmanager voor sterke, unieke inloggegevens per account.

Blokkeer PHP-uitvoering in de uploads-map

Webshells in wp-content/uploads/ zijn gevaarlijk omdat ze direct via de browser aanroepbaar zijn. Voeg via .htaccess beveiligingsregels de volgende instructie toe in een apart .htaccess-bestand binnen de uploads-map om PHP-uitvoering daar te blokkeren:

<Files *.php>
  deny from all
</Files>

Dit is een eenvoudige maar effectieve maatregel die webshells onbruikbaar maakt, ook als ze al geplaatst zijn.

Dagelijkse back-ups buiten de server

Een back-up op dezelfde server als je website biedt geen bescherming bij een volledige compromittering: een aanvaller met rootkittoegang kan ook de back-ups manipuleren. Gebruik een oplossing die kopieën opslaat op een externe locatie, zoals aparte cloudopslag. Bij KeurigOnline zijn automatische dagelijkse back-ups inbegrepen bij elk hostingpakket, zodat je altijd kunt herstellen naar een schoon punt van vóór de aanval.

Minimale rechten voor gebruikers en plugins

Geef plugins en gebruikers nooit meer rechten dan strikt noodzakelijk. Redacteurs hoeven geen beheerder te zijn. Plugins hoeven geen schrijftoegang te hebben tot de volledige bestandsstructuur. Hoe minder een aanvaller kan doen met de toegang die hij verkrijgt, hoe kleiner de uiteindelijke schade.

DNSSEC als aanvullende beveiligingslaag

Naast plugin-beveiliging is de integriteit van je domeinnaamKeurigOnline zegtDomeinnaamEen domeinnaam is een uniek webadres gekoppeld aan je website en e-mail, zoals voorbeeld.nl, bedrijf.com of startup.ai. cruciaal. Met DNSSEC standaard ingeschakeld voorkom je dat aanvallers DNSKeurigOnline zegtDNSHet Domain Name System (DNS) vertaalt domeinnamen naar IP-adressen, zodat websites makkelijk bereikbaar zijn.-records manipuleren om bezoekers naar een nagemaakte versie van jouw site te leiden, ook wanneer WordPress zelf al beveiligd is.

Tip: abonneer je op beveiligingswaarschuwingen

Wordfence, Patchstack en The Hacker News publiceren dagelijks meldingen over nieuwe WordPress-CVE's. Met een gratis account bij Patchstack ontvang je proactieve meldingen voor alle plugins die je gebruikt, inclusief betaalde exemplaren.

Veelgestelde vragen

Wat is CVE-2026-3300?

CVE-2026-3300 is een kritieke Remote Code Execution (RCE)-kwetsbaarheid in het WordPress-plugin Everest Forms Pro, versies 1.9.12 en ouder. De CVSS-score is 9.8, wat staat voor "Kritiek". Via de Complex Calculation-addon kan een aanvaller zonder inloggegevens willekeurige PHPKeurigOnline zegtPHPPHP (Hypertext Preprocessor) is een populaire open-source scripttaal die speciaal is ontworpen voor webontwikkeling en server-side programmering.-code uitvoeren op de server. In de praktijk wordt deze kwetsbaarheid gebruikt om nep-beheerdersaccounts aan te maken en backdoors te installeren.

Welke versie van Everest Forms Pro is veilig?

Versie 1.9.13, uitgebracht op 18 maart 2026, bevat de patch voor CVE-2026-3300. Elke installatie op versie 1.9.12 of ouder is kwetsbaar. Update via WordPress-dashboard > Plugins > Updates. Controleer daarna of het versienummer 1.9.13 of hoger toont in de pluginlijst.

Hoe weet ik of mijn site al gehackt is via deze kwetsbaarheid?

Controleer je WordPress-gebruikerslijst op de gebruikersnaam diksimarina of het e-mailadresKeurigOnline zegtE-mailadresEen e-mailadres is een uniek digitaal adres in het formaat naam@domein.nl voor het versturen en ontvangen van elektronische berichten. diksimarina@gmail.com. Scan de map wp-content/uploads/ op bestanden met de extensie .php: normale media-uploads bevatten die niet. Bekijk je serverlogboeken op verzoeken afkomstig van IP-adres 202.56.2.126 of 209.146.60.26. Een treffer op een van deze drie punten vereist verder onderzoek en herstel vanuit een schone back-up.

Ik gebruik de gratis versie van Everest Forms. Ben ik kwetsbaar?

Niet voor CVE-2026-3300: die kwetsbaarheid zit uitsluitend in de betaalde Pro-versie met de Complex Calculation-addon. De gratis versie van Everest Forms heeft een aparte kwetsbaarheid, CVE-2026-3296, die eveneens gepatcht is. Zorg dat ook die versie up-to-date is via het WordPress-updatescherm.

Moet ik de Complex Calculation-addon uitschakelen?

Als je de functie niet actief gebruikt in je formulieren, is uitschakelen een verstandige stap: het verkleint het aanvalsoppervlak ongeacht de versie, en kost niets als je de berekeningen toch niet nodig hebt. Gebruik je de addon wel zakelijk, dan is updaten naar versie 1.9.13 de enige juiste oplossing.

Hoe voorkom ik dit soort aanvallen in de toekomst?

Schakel automatische updates in voor alle plugins, ook betaalde exemplaren. Activeer een Web Application FirewallKeurigOnline zegtFirewallEen firewall is een beveiligingssysteem dat netwerkverkeer filtert en ongeautoriseerde toegang tot netwerken en servers blokkeert. zoals Wordfence of Cloudflare. Zet twee-factor-authenticatie aan op alle beheerdersaccounts. Maak dagelijkse back-ups op een externe locatie. Abonneer je op beveiligingswaarschuwingen via Wordfence of Patchstack voor vroege meldingen over nieuwe WordPress-kwetsbaarheden.

Bronnen