Vulnerabilitate RCE exploatată activ în Sneeit WordPress
Sursă: https://thehackernews.com
O vulnerabilitate critică de securitate în plugin-ul Sneeit Framework pentru WordPress este exploatată în mod activ, conform datelor furnizate de Wordfence.
Vulnerabilitatea de executare a codului de la distanță în cauză este CVE-2025-6389 (scor CvSS: 9.8/10), care afectează toate versiunile plugin-ului anterioare și inclusiv 8.3.
Aceasta a fost remediată în versiunea 8.4, lansată pe 5 august 2025. Plugin-ul are peste 1.700 de instalări active.
Acest lucru se datorează funcției [sneeit_articles_pagination_callback()] care acceptă introducerea de date de către utilizator și apoi le transmite prin XXXXXXXXXXXXXX(), a semnalat Wordference. Acest lucru permite atacatorilor neautentificați să execute cod pe server, care poate fi utilizat pentru a injecta backdoor-uri sau, de exemplu, pentru a crea noi conturi de utilizator administrativ.
Cu alte cuvinte, vulnerabilitatea poate fi exploatată pentru a apela o funcție PHP arbitrară, cum ar fi wp_insert_user(), pentru a insera un cont de administrator rău intenționat, pe care un atacator îl poate apoi folosi pentru a prelua controlul site-ului și a injecta cod rău intenționat care poate redirecționa vizitatorii site-ului către alte site-uri malițioase, malware sau spam.
Unele dintre aceste atacuri includ trimiterea de cereri HTTP malițioase către endpoint-ul /wp-admin/admin-ajax.php pentru a crea un cont de administrator rău intenționat, precum arudikadis, și pentru a încărca un fișier PHP rău intenționat, tijtewmg.php, care probabil acordă acces backdoor.
Compania de securitate WordPress a declarat că a observat și fișiere PHP rău intenționate care au capacitatea de a scana directoare, citi, edita sau șterge fișiere și permisiunile acestora și permit extragerea fișierelor ZIP. Aceste fișiere PHP poartă numele xL.php, Canonical.php, .a.php și simple.php.
Shell-ul xL.php, conform Wordfence, este descărcat de un alt fișier PHP numit up_sf.php, care este conceput pentru a exploata vulnerabilitatea. De asemenea, descarcă un fișier .htaccess de pe un server extern (racoonlab[.]top) pe gazda compromisă.
Sursă: https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html
