Uma vulnerabilidade crítica de execução remota de código no plugin Sneeit Framework WordPress está sob exploração ativa por agentes de ameaças, representando um risco imediato para milhares de sites em todo o mundo.
A vulnerabilidade, rastreada como CVE-2025-6389 com pontuação CVSS de 9,8, existe nas versões 8.3 e anteriores do plugin, que mantém aproximadamente 1.700 instalações ativas em vários sites WordPress e temas premium.
Os pesquisadores de segurança descobriram a vulnerabilidade em 10 de junho de 2025 e a relataram ao fornecedor.
A equipe de desenvolvimento do Sneeit Framework lançou uma versão corrigida em 5 de agosto de 2025, e a vulnerabilidade foi divulgada publicamente em 24 de novembro de 2025.
Os atores da ameaça iniciaram as suas tentativas de exploração no mesmo dia da divulgação pública, lançando ataques generalizados contra instalações não corrigidas.
Os analistas de segurança do Wordfence identificaram e documentaram a campanha de exploração, revelando que o Wordfence Firewall já bloqueou mais de 131.000 tentativas de exploração desde a divulgação pública.
A proteção de firewall foi fornecida aos usuários premium em 23 de junho de 2025, com os usuários gratuitos recebendo proteção em 23 de julho de 2025.
Apesar dessa proteção, a vulnerabilidade continua afetando sites que utilizam versões não corrigidas do plugin.
A vulnerabilidade decorre da validação de entrada insuficiente na função sneeitarticlespaginationcallback, que processa parâmetros fornecidos pelo usuário sem a devida restrição.
Os invasores exploram essa falha enviando solicitações AJAX especialmente criadas para o endpoint wp-admin/admin-ajax.php, aproveitando os parâmetros callback e args para executar código PHP arbitrário no servidor.
Mecânica de Exploração e Vetores de Ataque
Os atores da ameaça empregam diversas táticas para transformar essa vulnerabilidade em arma. A exploração inicial normalmente envolve o envio de solicitações POST contendo código malicioso por meio do manipulador AJAX.
Os ataques seguem um padrão consistente, começando com o reconhecimento usando funções phpinfo para coletar informações do servidor.
As solicitações subsequentes tentam criar contas de administrador não autorizadas ou fazer upload de arquivos PHP maliciosos para estabelecer acesso backdoor persistente.
Um vetor de ataque predominante usa a função wp_insert_user para criar novas contas administrativas, concedendo aos invasores controle completo do site.
AtributoDetalhesNome da vulnerabilidadeExecução remota de código não autenticado em sneeitarticlespaginationcallbackCVE IDCVE-2025-6389CVSS Score9.8 (Crítico)Crítico GravidadeCríticoSoftware afetadoSneeit FrameworkVersões afetadas8.3 e anterioresVersão corrigida8.4Tipo de vulnerabilidadeAutenticação de execução remota de código (RCE) ObrigatórioNão (não autenticado)Data de descoberta 10 de junho de 2025 Patch do fornecedor lançado 5 de agosto de 2025 Data de divulgação pública 24 de novembro de 2025 Exploração ativa iniciada 24 de novembro de 2025 Instalações estimadas Mais de 1.700 instalações ativas Implantações afetadas Sites WordPress e temas premium Vulnerabilidade PesquisadorTonnBounty Valor$537,00Tentativas de exploração bloqueadas131.000+ (na data do relatório)Causa raizValidação de entrada insuficiente na função sneeitarticlespaginationcallback; entrada do usuário passada por call_user_func sem restriçãoAttack VectorAJAX solicitações para wp-admin/admin-ajax.php endpointImpactComplete comprometimento do site, criação não autorizada de conta de administrador, instalação de backdoor, implantação de webshellAssociated MalwarexL.php, Canonical.php, upsf.php, tijtewmg.phpAssociated Domainracoonlab.topWordfence ProtectionPremium/Care/Response usuários protegidos desde 23 de junho, 2025; Usuários gratuitos protegidos desde 23 de julho de 2025 Indicadores de compromisso Contas de administrador recentemente adicionadas, arquivos PHP maliciosos, finderdata.txt, goodfinderdata.txt, arquivos .htaccess modificados IPs de ataque mais importantes 185.125.50.59 (mais de 74.000 solicitações bloqueadas), 182.8.226.51 (mais de 24.200 solicitações bloqueadas), 89.187.175.80 (mais de 4.600 solicitações bloqueadas)RecomendaçãoAtualize para a versão 8.4 ou posterior imediatamente
Métodos alternativos envolvem o upload de arquivos PHP maliciosos com nomes como xL.php, Canonical.php e tijtewmg.php.
Esses arquivos geralmente contêm funcionalidades sofisticadas, incluindo verificação de diretório, gerenciamento de arquivos, recursos de extração zip e ferramentas de modificação de permissão.
As amostras de malware associadas incluem upsf.php, que baixa shells adicionais do domínio racoonlab.top controlado pelo invasor.
Esses shells facilitam a criação de arquivos .htaccess maliciosos que ignoram as restrições de diretório de upload em servidores Apache, permitindo a implantação adicional de malware.
Os proprietários de sites devem atualizar imediatamente para o Sneeit Framework versão 8.4 ou posterior para remediar esta vulnerabilidade crítica e evitar o comprometimento total do site por meio de instalação backdoor e roubo de dados.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
