Критична уязвимост за дистанционно изпълнение на код (RCE) в WordPress плъгина Sneeit Framework се експлоатира активно от злонамерени лица, поставяйки под непосредствен риск хиляди сайтове по целия свят. Пропускът е категоризиран като CVE-2025-6389 и получава CVSS оценка 9.8, което го прави един от най-опасните WordPress инциденти за годината.
Уязвими са всички версии 8.3 и по-стари, а по данни на изследователите плъгинът се използва активно в над 1 700 WordPress инсталации и множество премиум теми.
Откриване, корекция и начало на атаките
Пропускът е открит на 10 юни 2025 г. и докладван на разработчика, който публикува коригирана версия 8.4 на 5 август 2025 г. Уязвимостта става публично известна на 24 ноември, като именно в този ден започва и първата голяма експлоатационна кампания.
Wordfence отчита над 131 000 блокирани опита за атака само дни след публичното разкриване. Премиум потребителите получават защитни правила още през юни, а безплатните – през юли, но голям брой сайтове продължават да работят с остарели версии и остават изложени.
Технически корен на уязвимостта
Проблемът произтича от липса на достатъчна валидация на входните параметри във функцията sneeitarticlespaginationcallback.
Тя обработва потребителски данни и ги подава директно към call_user_func, без каквито и да било ограничения.
Акцент: Пропускът позволява на напълно неавтентифицирани атакуващи да изпълняват произволен PHP код през AJAX заявка към wp-admin/admin-ajax.php.
Атакуващите изпращат специално конструирани POST заявки с параметрите callback и args, които задействат опасната функция и осигуряват пълен контрол върху сайта.
Как протичат атаките
Експлоатационните кампании следват ясна последователност:
1. Разузнаване
Първите заявки често използват phpinfo(), за да съберат информация за конфигурацията на сървъра.
2. Придобиване на контрол
Атакуващите се опитват да създадат неоторизирани администраторски акаунти, използвайки wp_insert_user.
3. Инсталиране на бекдори
Следва създаване или качване на PHP уебшел файлове, сред които:
xL.php, Canonical.php, upsf.php, tijtewmg.php.
Тези шел скриптове предоставят разширени функции:
-
сканиране на директории;
-
управление на файлове;
-
модифициране на права;
-
разархивиране;
-
изпълнение на системни команди.
Особено опасен е upsf.php, който изтегля допълнителни шел файлове от домейна racoonlab.top, създава зловредни .htaccess файлове и заобикаля ограниченията за качване на файлове в Apache.
Индикатори за компрометиране
Уебадминистраторите трябва да проверят за следните признаци:
-
нови администраторски акаунти;
-
качени подозрителни PHP файлове;
-
файлове finderdata.txt и goodfinderdata.txt;
-
модифицирани .htaccess конфигурации;
-
необичайни POST заявки от посочените атакуващи IP адреси.
Топ IP адреси с най-много блокирани атаки:
-
185.125.50.59 – 74 000+ опита
-
182.8.226.51 – 24 200+ опита
-
89.187.175.80 – 4 600+ опита
Препоръки към администратори и собственици на сайтове
Незабавната актуализация до Sneeit Framework версия 8.4 или по-нова е единственият надежден начин за отстраняване на уязвимостта.
Допълнителни мерки включват:
-
пълно сканиране на файловата система;
-
проверка на администраторски акаунти;
-
анализ на логове за подозрителни AJAX POST заявки;
-
подмяна на компрометирани .htaccess файлове;
-
заздравяване на конфигурацията на сървъра и приложенията.
