Una vulnerabilità critica di tipo Remote Code Execution (RCE) è stata scoperta nel plugin Sneeit Framework per WordPress, attualmente sotto attivo sfruttamento da parte di attori malevoli. Questo problema rappresenta un rischio immediato per migliaia di siti web in tutto il mondo che utilizzano versioni non aggiornate del plugin.
La vulnerabilità, identificata con il codice CVE-2025-6389 e valutata con punteggio CVSS 9.8 (livello critico), colpisce tutte le versioni del plugin Sneeit Framework fino alla 8.3 compresa. Il plugin è installato su circa 1.700 siti WordPress e viene spesso integrato in temi premium, ampliando il potenziale impatto.
La falla è stata individuata dai ricercatori il 10 giugno 2025 e segnalata al produttore. La versione corretta è stata rilasciata il 5 agosto 2025, mentre la divulgazione pubblica è avvenuta il 24 novembre 2025. Già dalla data di pubblica divulgazione, sono iniziate massicce campagne di attacco contro le installazioni non aggiornate.
Gli analisti di sicurezza hanno documentato che oltre 131.000 tentativi di sfruttamento sono stati bloccati dai sistemi di protezione dal giorno della divulgazione. La protezione tramite firewall è stata attivata per gli utenti premium il 23 giugno 2025 e per gli utenti gratuiti il 23 luglio 2025. Tuttavia, i siti che non hanno ancora aggiornato il plugin rimangono esposti.
La vulnerabilità risiede nella funzione sneeitarticlespaginationcallback, che elabora parametri forniti dall’utente senza un’adeguata validazione. Gli attaccanti sfruttano questa debolezza inviando richieste AJAX appositamente costruite all’endpoint wp-admin/admin-ajax.php, sfruttando i parametri callback e args per eseguire codice PHP arbitrario sul server.
Le tecniche di attacco includono l’invio di richieste POST contenenti codice malevolo tramite l’handler AJAX. Gli attacchi seguono uno schema ricorrente: iniziano con la raccolta di informazioni sul server tramite funzioni come phpinfo, poi tentano di creare account amministratore non autorizzati o di caricare file PHP malevoli per ottenere un accesso persistente.
Un vettore di attacco comune prevede l’utilizzo della funzione wp_insert_user per creare nuovi account amministratore, consentendo il controllo completo del sito. Altre tecniche includono il caricamento di file PHP malevoli con nomi come xL.php, Canonical.php e tijtewmg.php, che spesso contengono funzionalità avanzate come scansione di directory, gestione di file, estrazione di archivi zip e modifica dei permessi.
I campioni di malware associati includono upsf.php, che scarica shell aggiuntive da domini controllati dagli attaccanti, come racoonlab.top. Queste shell permettono la creazione di file .htaccess malevoli che aggirano le restrizioni delle directory di upload sui server Apache, facilitando ulteriori fasi di attacco.
Tra gli indicatori di compromissione si segnalano la creazione di nuovi account amministratore, la presenza di file PHP sospetti, file come finderdata.txt e goodfinderdata.txt, e modifiche ai file .htaccess. Gli indirizzi IP più attivi negli attacchi sono 185.125.50.59, 182.8.226.51 e 89.187.175.80.
Per mitigare il rischio, è fondamentale aggiornare immediatamente il plugin Sneeit Framework alla versione 8.4 o successiva. L’aggiornamento è l’unico modo efficace per prevenire la compromissione totale del sito, l’installazione di backdoor e il furto di dati sensibili.
