La explotación de Sneeit Framework comenzó el 24 de noviembre de 2025
Una falla de seguridad crítica en el plugin Sneeit Framework para WordPress está siendo explotada activamente, según datos de Wordfence.
La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (puntuación CVSS: 9.8), que afecta a todas las versiones del plugin anteriores a la 8.3. Se ha corregido en la versión 8.4, publicada el 5 de agosto de 2025. El plugin cuenta con más de 1.700 instalaciones activas.
"Esto se debe a que la función [sneeit_articles_pagination_callback()] acepta la entrada del usuario y la pasa a través de call_user_func()", explicó Wordfence. "Esto permite que atacantes no autenticados ejecuten código en el servidor, lo cual puede aprovecharse para inyectar puertas traseras o, por ejemplo, crear nuevas cuentas de usuario administrativas".
En otras palabras, la vulnerabilidad puede aprovecharse para llamar a una función PHP arbitraria, como wp_insert_user(), para insertar un usuario administrador malicioso, que un atacante puede luego utilizar como arma para tomar el control del sitio e inyectar código malicioso que puede redirigir a los visitantes del sitio a otros sitios sospechosos, malware o spam.
Wordfence afirmó que la explotación in situ comenzó el 24 de noviembre de 2025, el mismo día en que se divulgó públicamente, y que la compañía bloqueó más de 131.000 intentos dirigidos a la falla. De estos, 15.381 intentos de ataque se registraron solo en las últimas 24 horas.
Algunos de los esfuerzos incluyen el envío de solicitudes HTTP especialmente diseñadas al punto final "/wp-admin/admin-ajax.php" para crear una cuenta de usuario administrador maliciosa como "arudikadis" y cargar un archivo PHP malicioso "tijtewmg.php" que probablemente otorgue acceso de puerta trasera.
La empresa de seguridad de WordPress afirmó haber detectado archivos PHP maliciosos que permiten escanear directorios, leer, editar o eliminar archivos y sus permisos, y extraer archivos ZIP. Estos archivos PHP se conocen como "xL.php", "Canonical.php", ".a.php" y "simple.php".
El shell "xL.php", según Wordfence, se descarga mediante otro archivo PHP llamado "up_sf.php", diseñado para explotar la vulnerabilidad. También descarga un archivo ".htaccess" desde un servidor externo ("racoonlab[.]top") al host comprometido.
"Este archivo .htaccess garantiza el acceso a archivos con ciertas extensiones en servidores Apache", explicó István Márton. "Esto resulta útil cuando otros archivos .htaccess impiden el acceso a scripts, por ejemplo, en directorios de carga".
