ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์เกี่ยวกับช่องโหว่ในปลั๊กอิน Everest Forms Pro สำหรับ WordPress [1] หมายเลข CVE-2026-3300 (ระดับความรุนแรง CVSS 3.1: 9.8 ) [2] ซึ่งเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดและเข้ายึดครองเว็บไซต์ได้ นอกจากนี้ยังพบการโจมตีรูปแบบใหม่ที่อาศัยโครงสร้างพื้นฐานของ Stripe และ Google Tag Manager (GTM) ในการฝังโค้ด Skimmer เพื่อดักขโมยข้อมูลบัตรเครดิตจากเว็บไซต์อีคอมเมิร์ซ
1. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ
1.1 ระบบเว็บไซต์ที่ใช้งาน WordPress และมีการติดตั้งปลั๊กอิน Everest Forms Pro ทุกเวอร์ชันจนถึงเวอร์ชัน 1.9.12
1.2 แพลตฟอร์มเว็บไซต์อีคอมเมิร์ซและร้านค้าออนไลน์ (เช่น Magento, Adobe Commerce)
1.3 เว็บไซต์ร้านค้าออนไลน์ที่พัฒนาด้วยแพลตฟอร์ม Medusa.js ซึ่งอาจตกเป็นเป้าหมายของเครือข่ายแคมเปญ Skimmer (GorgonAgora)
2. รูปแบบพฤติกรรมการโจมตี
แบ่งเป็น 2 รูปแบบดังนี้
2.1 การโจมตีช่องโหว่ Everest Forms Pro
ช่องโหว่เกิดจากฟังก์ชัน process_filter() ของ Calculation Addon ไม่มีการป้องกันการแทรกคำสั่งแปลกปลอมที่เหมาะสม ก่อนส่งค่าไปยังฟังก์ชัน eval() ส่งผลให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถแทรกและรันโค้ด PHP โดยไม่ต้องยืนยันตัวตน นำไปสู่การสร้างบัญชีผู้ดูแลระบบ (Admin) ปลอม การติดตั้ง Web Shells และการแฝงตัวถาวรในเซิร์ฟเวอร์ [3]
2.2 การโจมตีด้วย Skimmer ผ่าน Stripe และ GTM
ผู้โจมตีจะนำโดเมนที่น่าเชื่อถืออย่าง api.stripe.com และ googletagmanager.com มาใช้เป็นเซิร์ฟเวอร์ควบคุมและสั่งการ เพื่อหลบเลี่ยงกฎ Content Security Policy (CSP) โดยโค้ดอันตรายจะแอบบันทึกข้อมูลทางการเงินจากหน้าชำระเงิน นำไปพักไว้ใน localStorage ก่อนลักลอบส่งข้อมูลผ่าน WebSocket ที่เข้ารหัสลับ (AES-256-GCM) กลับไปยังบัญชี Stripe ของผู้โจมตี นอกจากนี้ยังมีการทำ Live 3D Secure Relay เพื่อหลอกล่อให้การทำธุรกรรมโดยที่เหยื่อไม่รู้ตัว
3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
ผู้พัฒนาได้ออกแพตช์เพื่ออุดช่องโหว่ รหัสอ้างอิง CVE-2026-3300 เรียบร้อยแล้วตั้งแต่วันที่ 18 มีนาคม 2026 ผู้ดูแลระบบหรือผู้ใช้งานควรดำเนินการอัปเดตปลั๊กอิน Everest Forms Pro ให้เป็น เวอร์ชัน 1.9.13 หรือใหม่กว่าโดยทันที
4. แนวทางการแก้ไขและป้องกัน
4.1 อัปเดตปลั๊กอิน Everest Forms Pro เป็นเวอร์ชัน 1.9.13 หรือใหม่กว่าโดยเร็ว และควรใช้เวอร์ชันล่าสุดที่ผู้พัฒนาเผยแพร่
4.2 ตรวจสอบว่าเว็บไซต์มีการใช้งานฟีเจอร์ Complex Calculation หรือไม่ หากไม่มีความจำเป็นควรปิดใช้งานหรือลดการใช้งานฟีเจอร์ดังกล่าว
4.3 ตรวจสอบบัญชีผู้ดูแลระบบ WordPress ว่ามีบัญชีที่ไม่ได้รับอนุญาตหรือบัญชีที่น่าสงสัยหรือไม่ โดยเฉพาะบัญชีชื่อ diksimarina หรืออีเมล [diksimarina@gmail.com](mailto:diksimarina@gmail.com)
4.4 ตรวจสอบ log ของเว็บเซิร์ฟเวอร์และ WordPress เพื่อค้นหาคำขอที่ผิดปกติ โดยเฉพาะคำขอที่เกี่ยวข้องกับการส่งข้อมูลผ่านฟอร์มและเส้นทาง admin-ajax.php
4.5 ตรวจสอบการเชื่อมต่อจาก IP Address ที่เกี่ยวข้องกับการโจมตีตามรายการตัวบ่งชี้ข้างต้น
4.6 ตรวจสอบไฟล์ปลั๊กอิน ธีม และไดเรกทอรี uploads เพื่อค้นหา web shell, backdoor หรือไฟล์ PHP ที่ผิดปกติ
4.7 ใช้ Web Application Firewall (WAF) หรือปลั๊กอินด้านความปลอดภัยที่มี rule สำหรับตรวจจับและบล็อกการโจมตีช่องโหว่นี้
4.8 สำรองข้อมูลเว็บไซต์และฐานข้อมูลอย่างสม่ำเสมอ และจัดเก็บสำเนาสำรองไว้ในพื้นที่ที่แยกจากระบบหลัก
4.9 หากพบหลักฐานว่าเว็บไซต์ถูกบุกรุกแล้ว ควรเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบ ตรวจสอบบัญชีทั้งหมด เพิกถอน session ที่ค้างอยู่ ตรวจสอบ integrity ของไฟล์ และพิจารณากู้คืนระบบจาก backup ที่เชื่อถือได้
แหล่งอ้างอิง