Im Zentrum der aktuellen Angriffe steht CVE-2026-3300, eine kritische Remotecodeausführung in Everest Forms Pro. Das Plugin kommt auf rund 4.000 aktiv installierten WordPress-Seiten zum Einsatz. Der Hersteller stellte den Patch am 18. März 2026 mit Version 1.9.13 bereit; verwundbar sind alle Fassungen bis einschließlich 1.9.12.
Wordfence führt die Ursache auf die Funktion process_filter() im Calculation Addon zurück. Diese setze von Nutzern übermittelte Formularfeldwerte zu einer PHP-Codezeichenfolge zusammen und übergebe sie an eval(), ohne die Werte dafür korrekt zu maskieren. Die auf die Eingaben angewendete Funktion sanitize_text_field() reiche dafür nicht aus, weil sie weder einfache Anführungszeichen noch andere Zeichen im Kontext von PHP-Code entschärfe.
Dadurch können nicht authentifizierte Angreifer beliebigen PHP-Code auf dem Server ausführen, indem sie einen präparierten Wert in ein beliebiges Formularfeld vom Typ Zeichenkette einschleusen. Genannt werden Text-, E-Mail-, URL-, Auswahl- und Radio-Felder. Voraussetzung ist, dass das jeweilige Formular die Funktion „Complex Calculation“ nutzt.
Eine erfolgreiche Ausnutzung kann laut Wordfence dazu führen, dass Angreifer Administrator-Konten anlegen, Web-Shells installieren und sich weitere Zugänge auf dem Server verschaffen, um sich dort dauerhaft festzusetzen. Am häufigsten beobachtet Wordfence derzeit Nutzlasten, die auf kompromittierten Websites ein Administrator-Konto mit dem Namen „diksimarina“ und der E-Mail-Adresse „diksimarina@gmail.com“ anlegen sollen.
Nach Angaben des Unternehmens wurden Angriffe auf die Schwachstelle seit dem 13. April 2026 beobachtet. Bislang seien mehr als 29.300 Exploit-Versuche gegen den Fehler blockiert worden. Davon entfielen 16 Versuche auf die vergangenen 24 Stunden. Die Angriffe gingen laut Wordfence von mehreren IP-Adressen aus.
Unabhängig davon hat Sansec vor mehreren Skimmer-Kampagnen gewarnt. Eine davon missbraucht Stripe sowohl als Kommando-und-Kontroll-Server als auch als Ziel für die Exfiltration von Daten. Nach Darstellung von Sansec setzen die Angreifer dabei auf das Vertrauen, das Content-Security-Policy-Regeln und Netzwerkfilter den Domains von Stripe und Google Tag Manager häufig bereits entgegenbringen.
Die Kampagne nutzt googletagmanager.com und api.stripe.com. Der schädliche Code wird aus einem GTM-Container geladen und auf jeder Seite ausgeführt, die ihn einbindet. Auf Checkout-Seiten von Magento und Adobe Commerce zieht der Code einen verschleierten Skimmer aus dem Metadatenfeld eines Stripe-Kundenkontos mit der Kennung „cus_TfFjAAZQNOYENR“. Anschließend speichert er Finanzdaten, Rechnungs- und E-Mail-Adressen sowie Telefonnummern ahnungsloser Nutzer in localStorage und überträgt sie danach zurück an das Stripe-Konto der Angreifer.
Sansec zufolge wurde der Stripe-Kundendatensatz mit dem Skimmer am 24. Dezember 2025 angelegt, was darauf hindeutet, dass die Operation seitdem aktiv sein könnte. Zudem identifizierte das Unternehmen eine zweite Variante des Loaders, die statt Stripe Google Firestore verwendet. Das Ziel bleibe gleich: ein vertrauenswürdiger Dienst soll als verdeckter Kanal missbraucht werden, den Online-Shops voraussichtlich nicht blockieren.
Parallel dazu verortet Sansec eine groß angelegte Operation mit dem Namen GorgonAgora. Sie umfasst 5.714 gefälschte .shop-Schaufenster, die Marken wie Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney und Toyota imitieren. Deren Checkout-Seiten leiten gestohlene Kartendaten an einen einzelnen Skimmer-Server in Moldau weiter. Die Kampagne läuft laut Sansec seit August 2025. Alle Shops verwendeten denselben Medusa.js-Commerce-Stack und dasselbe angepasste Checkout-SDK, das ein gefälschtes Stripe-iframe rendere und Kartendaten über eine verschlüsselte WebSocket-Verbindung an den Server in Moldau exfiltriere. Die Datenübertragung erfolge über WebSocket mit einer mit AES-256-GCM verschlüsselten Nutzlast; zudem halte die Infrastruktur eine Live-Weiterleitung für 3D Secure aufrecht.