Эксперты по кибербезопасности зафиксировали активную эксплуатацию критической уязвимости в плагине Sneeit Framework для WordPress. Уязвимость, получившая идентификатор CVE-2025-6389, позволяет удаленно выполнять код и оценивается по шкале CVSS на 9.8 баллов из 10. По данным компании Wordfence, с момента публичного раскрытия деталей уязвимости 24 ноября 2025 года ее межсетевой экран заблокировал уже более 131 тысячи попыток эксплуатации.
Описание
Проблема затрагивает все версии плагина до 8.3 включительно. Sneeit Framework используется как самостоятельное решение, а также входит в состав ряда премиальных тем для WordPress, его общая аудитория оценивается примерно в 1700 активных установок. Уязвимость кроется в функции "sneeit_articles_pagination_callback()", которая некорректно обрабатывает пользовательский ввод. Поскольку для вызова функции используется "call_user_func()" без должных проверок, неавторизованный злоумышленник может указать в параметре "callback" произвольную функцию PHP и передать ей аргументы через параметр "args".
Это открывает широкие возможности для атак. Например, злоумышленники могут вызвать функцию "wp_insert_user()" для создания новой учетной записи администратора на сайте. Другим распространенным вектором является выполнение команд через "system()" для загрузки и запуска вредоносных скриптов, часто представляющих собой веб-шеллы. Анализ попыток атак показывает, что злоумышленники тестируют уязвимость, вызывая функцию "phpinfo()", а затем пытаются загрузить вредоносные файлы с именами вроде "tijtewmg.php" или добавить администратора с подозрительными данными.
Вендор выпустил исправление в версии 8.4 еще 5 августа 2025 года. Однако массовая эксплуатация началась спустя несколько месяцев, сразу после публикации деталей уязвимости в базе данных Wordfence Intelligence. По данным мониторинга, наиболее активные атаки исходят с IP-адресов 185.125.50[.]59, 182.8.226[.]51 и 89.187.175[.]80. Первый из них является источником более 74 тысяч запросов.
Эксперты связывают эту кампанию с использованием конкретных образцов вредоносного ПО. Один из них, известный как xL.php или Canonical.php, маскируется под легитимный WordPress-файл и обладает функционалом сканера директорий, редактора файлов и инструмента для распаковки архивов. Другой скрипт, up_sf.php, используется для первоначальной эксплуатации уязвимости и последующей загрузки основного вредоносного кода. Он также может создавать файл ".htaccess", изменяющий правила доступа к файлам с определенными расширениями на серверах Apache, что упрощает злоумышленникам управление загруженными шеллами. В атаках замешан домен racoonlab[.]top.
Владельцам сайтов настоятельно рекомендуется немедленно обновить плагин Sneeit Framework до версии 8.4 или выше. Кроме того, необходимо проверить журналы доступа на наличие запросов с перечисленных IP-адресов, а также провести аудит учетных записей пользователей на предмет несанкционированных записей с правами администратора. Следует искать подозрительные файлы, такие как "finderdata.txt", "goodfinderdata.txt" или PHP-скрипты с упомянутыми именами.
Индикаторы компрометации
IPv4
- 114.10.116.226
- 116.234.108.143
- 182.8.226.51
- 185.125.50.59
- 194.104.147.192
- 196.251.100.39
- 89.187.175.80