에베레스트 폼즈 프로 치명적 취약점, 워드프레스 사이트 장악에 악용
해커들이 Everest Forms Pro 플러그인의 치명적인 취약점(CVE‑2026‑3300)을 적극적으로 악용하고 있으며, 이를 통해 WordPress 사이트를 완전히 장악할 수 있습니다.
이 보안 문제는 플러그인 버전 1.9.12 이하에 영향을 미치며, 인증 없이도 서버에서 임의 코드를 실행할 수 있도록 이용될 수 있습니다.
Everest Forms Pro는 WordPress 폼 빌더 플러그인인 Everest Forms의 상용 애드온입니다. 연락처, 회원가입, 결제 및 기타 맞춤형 애플리케이션 폼을 만드는 데 사용됩니다.
CVE‑2026‑3300 취약점은 플러그인의 복합 계산(Complex Calculation) 기능에 존재합니다. 이 기능은 폼 필드로부터 전달받은 값을 PHP 코드 문자열에 삽입한 뒤, PHP의 eval() 함수를 사용해 해당 코드를 실행합니다.
사용자 입력은 sanitize_text_field() 함수를 통해 정제되지만, 이 함수는 작은 따옴표(')나 PHP 구문에 영향을 주는 다른 문자를 이스케이프하지 않습니다.
그 결과 공격자는 의도된 문자열을 닫고 임의의 PHP 코드를 삽입한 뒤, 나머지 생성된 코드를 주석 처리하여 서버에서 코드를 실행할 수 있게 됩니다.
Wordfence 방화벽 및 WordPress용 악성코드 스캐너의 텔레메트리 데이터에 따르면, 이 취약점이 실제로 악용되어 악성 관리자 계정이 생성되고 있습니다.
“공격자는 텍스트 필드에 작은 따옴표로 시작하는 값을 제출해 래핑된 문자열 리터럴을 닫고, 이어서
wp_insert_user()를 호출해 사용자 이름이 ‘diksimarina’인 새 관리자 계정을 만들도록 하는 PHP 구문을 삽입합니다,” 라고 Wordfence 보고서가 설명합니다.
“뒤에 붙은//주석 표시는 생성된 PHP 코드의 나머지 부분(닫는 따옴표 포함)을 주석으로 처리해 구문 오류가 발생하지 않게 합니다.”
“폼이 처리되고 계산이 평가될 때, 삽입된 PHP 코드가 실행되어 악성 관리자 계정이 생성됩니다.”
관리자 수준의 접근 권한을 얻은 공격자는 침해된 웹사이트에서 콘텐츠 수정, 플러그인·테마 설치, 백도어·웹쉘 심기, 비공개 데이터베이스 접근 등 고위험 작업을 자유롭게 수행할 수 있습니다.
연구원 h0xilo는 2월에 Wordfence를 통해 CVE‑2026‑3300 취약점을 보고했으며, 3월 18일에 Everest Forms 개발자가 해당 문제를 해결한 패치를 공개했습니다.
Wordfence 데이터에 따르면, 실제 악용은 4월 13일부터 시작됐으며 방화벽이 29,300건 이상의 시도를 차단했습니다.
악용 규모
출처: Wordfence
Wordfence는 악용 시도가 주로 두 개의 IP 주소, 202.56.2[.]126와 209.146.60.26에서 발생한다고 밝혔으며, 방어자는 이를 차단할 것을 권고합니다.
하지만 Wordfence 보고서에는 침해 지표(IOC)로 활용할 수 있는 여러 악성 IP 주소가 제공됩니다.
웹사이트 관리자들은 특히 “diksimarina” 문자열이 포함된 계정이나 로그 파일을 검토해 의심스러운 활동이 없는지 확인해야 합니다.
보안팀은 성공적인 공격의 54%를 기록하지만, 알림을 받는 경우는 14%에 불과합니다. 나머지는 환경을 무사히 통과합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.