Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Kritieke RCE-fout CVE-2026-3300 in Everest Forms Pro wordt actief misbruikt. Leer hoe je jouw WordPress-formulieren beschermt en schade voorkomt.
Samenvatting: Everest Forms Pro kwetsbaarheid beveiligen
CVE-2026-3300 is een kritieke Remote Code Execution-fout (CVSS 9.8) in Everest Forms Pro versies t/m 1.9.12. Via de Complex Calculation-addon voert de plugin gebruikersinvoer uit als PHP-code via eval(), zonder dat een aanvaller hoeft in te loggen. Update direct naar versie 1.9.13, controleer op nep-beheerdersaccounts (gebruikersnaam diksimarina) en scan wp-content/uploads/ op onbekende PHP-bestanden.
Op 5 juni 2026 berichtte The Hacker News dat een kritieke fout in Everest Forms Pro actief wordt misbruikt door aanvallers.[1] De kwetsbaarheid geeft elke bezoeker van een publieke pagina de mogelijkheid om volledige controle over jouw server te nemen, zonder enig wachtwoord of account. Als je Everest Forms Pro gebruikt, moet je nu handelen.
In dit artikel lees je wat er technisch precies misgaat, hoe je controleert of jouw site al getroffen is en welke stappen je vandaag kunt nemen om verdere schade te voorkomen.

CVE-2026-3300 is een Remote Code Execution (RCE)-kwetsbaarheid in de betaalde versie van het Everest Forms-plugin voor WordPress
KeurigOnline zegtWordPress
De feiten op een rij:
202.56.2.126, is verantwoordelijk voor meer dan 26.300 van die pogingen.[3]Dit is geen theoretische dreiging. Aanvallers scannen actief het internet op kwetsbare installaties via geautomatiseerde tools. Als jouw plugin niet gepatcht is, is het een kwestie van tijd voordat ook jouw site wordt bereikt.
Let op: geen patch, geen bescherming
De kwetsbaarheid zit in de Complex Calculation-addon van Everest Forms Pro. Met deze functie kunnen formulierbeheerders berekeningen instellen op basis van veldwaarden, bijvoorbeeld een totaalprijs berekenen uit geselecteerde opties. Handig als het goed is geïmplementeerd, maar in dit geval fundamenteel onveilig.
De functie process_filter() neemt de waarden die een bezoeker in het formulier invult, plakt ze samen tot een PHP
KeurigOnline zegtPHPeval().[4] Met eval() voert PHP die string uit als echte programmacode.
Het probleem: de invoer wordt gesaneerd via WordPress' standaardfunctie sanitize_text_field(). Die verwijdert HTML
KeurigOnline zegtHTML') en andere PHP-syntaxtekens intact. Een aanvaller hoeft een formulierveld alleen te beginnen met een apostrof om de PHP-string vroegtijdig te sluiten. Daarna kan willekeurige PHP-code volgen:
'); wp_insert_user(['user_login'=>'diksimarina','user_pass'=>'...','role'=>'administrator']); //PHP voert deze code uit als ware het reguliere serverprogrammering. In dit geval wordt een nieuw beheerdersaccount aangemaakt, zonder dat de aanvaller ooit was ingelogd.[3]
De aanval werkt volledig zonder authenticatie. Elke bezoeker van een publieke webpagina met een formulier waarop de Complex Calculation-functie actief staat, kan dit triggeren. Er is geen account nodig, geen captcha
KeurigOnline zegtCaptcha
KeurigOnline zegtHTTP
Het feit dat de aanval via een regulier contactformulier verloopt, bemoeilijkt ook detectie: het verkeer ziet er in eerste instantie uit als gewoon formuliergebruik.
Waarom eval() gevaarlijk is bij gebruikersinvoer
Het uitvoeren van gebruikersinvoer via eval() geldt in de beveiligingswereld als een fundamenteel antipatroon, ook wel "Code Injection" genoemd. De correcte aanpak is het evalueren van berekeningen via een wiskundige parser die nooit PHP-code uitvoert, ongeacht wat de gebruiker invoert.
Niet elke WordPress-site met een formulier-plugin loopt direct risico. De kwetsbaarheid is specifiek voor Everest Forms Pro, de betaalde versie, en alleen wanneer de Complex Calculation-addon is ingeschakeld op een formulier.
| Versie | Status |
|---|---|
| Everest Forms Pro 1.9.12 en ouder | Kwetsbaar voor CVE-2026-3300 |
| Everest Forms Pro 1.9.13 en nieuwer | Gepatcht (uitgebracht 18 maart 2026) |
| Everest Forms (gratis versie) | Niet kwetsbaar voor CVE-2026-3300; wél voor CVE-2026-3296 (apart gepatcht) |
Controleer je versie via WordPress-dashboard > Plugins. Staat er een versienummer van 1.9.12 of lager? Update dan onmiddellijk via het tabblad Updates.[5]
De patch voor CVE-2026-3300 verscheen op 18 maart 2026. Actieve exploitatie begon pas op 13 april 2026, precies 26 dagen later.[6] Dat patroon is bewust: aanvallers lezen de changelog van de nieuwe versie, reverse-engineren wat er exact gerepareerd is en bouwen vervolgens een exploittool. Tegen de tijd dat de geautomatiseerde aanvalsgolf losbarst, hebben veel beheerders nog niet geüpdatet.
Premium plugins vormen een specifiek risico in dit patroon. Updates verschijnen niet automatisch via WordPress.org, maar vereisen een actieve licentie en een bewuste handeling van de beheerder. Betaalde plugins worden daardoor gemiddeld trager geüpdatet dan gratis alternatieven, terwijl hun changelogs voor aanvallers even openbaar en leesbaar zijn.
Als je Everest Forms Pro versie 1.9.12 of ouder gebruikte en de Complex Calculation-addon actief had staan, moet je ervan uitgaan dat jouw site mogelijk al aangevallen is. Voer deze drie controles uit voordat je verder gaat.
Ga naar WordPress-dashboard > Gebruikers en zoek op de gebruikersnaam diksimarina of het e-mailadres
KeurigOnline zegtE-mailadresdiksimarina@gmail.com.[3] Staat die er? Verwijder het account direct. Controleer daarna ook alle andere accounts met de rol "Beheerder" op herkenbaarheid.
Let op: het verwijderen van het nep-account is niet genoeg
wp-content/uploads/ en voegen extra plugins toe via de nieuw verkregen beheerderstoegang.De map wp-content/uploads/ bevat normaal gesproken uitsluitend afbeeldingen en mediabestanden. Elk .php-bestand dat je hier aantreft, is een webshell of backdoor geplaatst door een aanvaller. Gebruik je hosting-bestandsbeheer of SSH
KeurigOnline zegtSSH
find wp-content/uploads/ -name "*.php" -type fElke match is een ernstige bevinding. Verwijder de bestanden en herstel de volledige site vanuit een bekende schone back-up.
Zoek in je serverlogboeken op verzoeken van de IP-adressen 202.56.2.126 en 209.146.60.26.[4] Een treffer betekent dat jouw site aangevallen is. Of die aanval ook slaagde, hangt af van je versie en configuratie op het moment van het verzoek, maar verdere inspectie is noodzakelijk.
Bij KeurigOnline heb je via het hostingpaneel directe toegang tot je toegangslogboeken. Kom je er niet uit, neem dan contact op met onze support voor hulp bij het interpreteren van de logboeken.
Hieronder staan de acties in volgorde van prioriteit. Stap 1 is de enige definitieve fix. De overige stappen zijn aanvullende verdedigingslagen die ook bij toekomstige kwetsbaarheden bescherming bieden.
Everest Forms Pro beveiligen in 5 stappen
Updaten naar 1.9.13 sluit de voordeur, maar richt de bestaande schade niet. Als je bij de controles uit het vorige onderdeel aanwijzingen hebt gevonden van een geslaagde aanval, doorloop dan de volgende stappen:
wp-config.php en .htaccess op kwaadaardige toevoegingen of onbekende code.CVE-2026-3300 staat niet op zichzelf. WordPress-plugins zijn structureel het meest aangevallen onderdeel van het web.
Volgens het Patchstack State of WordPress Security 2026-rapport zit 91% van alle WordPress-kwetsbaarheden in plugins, niet in WordPress zelf.[7] In 2025 werden 11.334 nieuwe kwetsbaarheden ontdekt in het WordPress-ecosysteem, een stijging van 42% ten opzichte van 2024.[7] Zorgwekkend daarbij: 46% van die kwetsbaarheden had geen beschikbare patch op het moment dat ze openbaar werden gemaakt.[7]
Bovendien draait 52,8% van alle WordPress-sites op minstens één plugin met een bekende CVE.[8] De kans dat jouw site op dit moment een kwetsbare plugin heeft draaien, is dus groter dan één op twee.
Een veelvoorkomende aanname is dat betaalde plugins beter onderhouden en daarmee veiliger zijn dan gratis alternatieven. CVE-2026-3300 toont het tegendeel. De updatemelding voor premium plugins verschijnt niet automatisch via WordPress
KeurigOnline zegtWordPress
Goed WordPress-beheer en onderhoud omvat niet alleen snelheid en prestaties, maar ook het tijdig updaten van alle plugins, inclusief premium exemplaren.
Nederland heeft de hoogste WordPress-dichtheid ter wereld: naar schatting 591.000 actieve WordPress-sites, met een CMS
KeurigOnline zegtCMS
De stappen in het vorige onderdeel zijn specifiek voor CVE-2026-3300. Hieronder staan maatregelen die jouw WordPress-site structureel veiliger maken, ongeacht welke kwetsbaarheid er als volgende opduikt.
wachtwoordmanager voor sterke, unieke inloggegevens per account.
Webshells in wp-content/uploads/ zijn gevaarlijk omdat ze direct via de browser aanroepbaar zijn. Voeg via .htaccess beveiligingsregels de volgende instructie toe in een apart .htaccess-bestand binnen de uploads-map om PHP-uitvoering daar te blokkeren:
<Files *.php>
deny from all
</Files>Dit is een eenvoudige maar effectieve maatregel die webshells onbruikbaar maakt, ook als ze al geplaatst zijn.
Een back-up op dezelfde server als je website biedt geen bescherming bij een volledige compromittering: een aanvaller met rootkittoegang kan ook de back-ups manipuleren. Gebruik een oplossing die kopieën opslaat op een externe locatie, zoals aparte cloudopslag. Bij KeurigOnline zijn automatische dagelijkse back-ups inbegrepen bij elk hostingpakket, zodat je altijd kunt herstellen naar een schoon punt van vóór de aanval.
Geef plugins en gebruikers nooit meer rechten dan strikt noodzakelijk. Redacteurs hoeven geen beheerder te zijn. Plugins hoeven geen schrijftoegang te hebben tot de volledige bestandsstructuur. Hoe minder een aanvaller kan doen met de toegang die hij verkrijgt, hoe kleiner de uiteindelijke schade.
Naast plugin-beveiliging is de integriteit van je domeinnaam
KeurigOnline zegtDomeinnaam
KeurigOnline zegtDNS
Tip: abonneer je op beveiligingswaarschuwingen
Wordfence, Patchstack en The Hacker News publiceren dagelijks meldingen over nieuwe WordPress-CVE's. Met een gratis account bij Patchstack ontvang je proactieve meldingen voor alle plugins die je gebruikt, inclusief betaalde exemplaren.
CVE-2026-3300 is een kritieke Remote Code Execution (RCE)-kwetsbaarheid in het WordPress-plugin Everest Forms Pro, versies 1.9.12 en ouder. De CVSS-score is 9.8, wat staat voor "Kritiek". Via de Complex Calculation-addon kan een aanvaller zonder inloggegevens willekeurige PHP
KeurigOnline zegtPHP
Versie 1.9.13, uitgebracht op 18 maart 2026, bevat de patch voor CVE-2026-3300. Elke installatie op versie 1.9.12 of ouder is kwetsbaar. Update via WordPress-dashboard > Plugins > Updates. Controleer daarna of het versienummer 1.9.13 of hoger toont in de pluginlijst.
Controleer je WordPress-gebruikerslijst op de gebruikersnaam diksimarina of het e-mailadres
KeurigOnline zegtE-mailadresdiksimarina@gmail.com. Scan de map wp-content/uploads/ op bestanden met de extensie .php: normale media-uploads bevatten die niet. Bekijk je serverlogboeken op verzoeken afkomstig van IP-adres 202.56.2.126 of 209.146.60.26. Een treffer op een van deze drie punten vereist verder onderzoek en herstel vanuit een schone back-up.
Niet voor CVE-2026-3300: die kwetsbaarheid zit uitsluitend in de betaalde Pro-versie met de Complex Calculation-addon. De gratis versie van Everest Forms heeft een aparte kwetsbaarheid, CVE-2026-3296, die eveneens gepatcht is. Zorg dat ook die versie up-to-date is via het WordPress-updatescherm.
Als je de functie niet actief gebruikt in je formulieren, is uitschakelen een verstandige stap: het verkleint het aanvalsoppervlak ongeacht de versie, en kost niets als je de berekeningen toch niet nodig hebt. Gebruik je de addon wel zakelijk, dan is updaten naar versie 1.9.13 de enige juiste oplossing.
Schakel automatische updates in voor alle plugins, ook betaalde exemplaren. Activeer een Web Application Firewall
KeurigOnline zegtFirewall