Опасная уязвимость RCE в WordPress: началась масштабная эксплуатация через плагин Sneeit Framework

Экосистема WordPress вновь столкнулась с серьёзной угрозой. В последние дни киберпреступники активно используют критическую уязвимость удалённого выполнения кода (RCE — Remote Code Execution) в плагине Sneeit Framework. Уязвимость, зарегистрированная как CVE-2025-6389 с показателем CVSS 9.8, позволяет полностью захватить управление сайтом, создавать администраторские аккаунты и загружать вредоносные файлы.

Происхождение и история уязвимости

Плагин Sneeit Framework является одним из распространённых инструментов, используемых в WordPress-сайтах и премиум-темах. В версиях 8.3 и ниже была обнаружена ошибка, связанная с недостаточной проверкой пользовательских параметров. Недостатки в функции sneeitarticlespaginationcallback, которая обрабатывает входные данные без должных ограничений, позволяют злоумышленнику вызывать выполнение произвольного PHP-кода через механизм call_user_func.

Хронология события выглядит следующим образом:

  • 10 июня 2025 года — уязвимость обнаружена исследователями
  • 5 августа 2025 года — разработчики выпустили патч (версия 8.4)
  • 24 ноября 2025 года — информация о проблеме опубликована
  • В тот же день началась массовая эксплуатация

Свыше 1 700 активных установок плагина оказались под угрозой.

Механизм атаки

Основной вектор атаки — отправка специально сформированных AJAX-запросов на адрес wp-admin/admin-ajax.php. Посредством параметров callback и args злоумышленники передают вредоносный код, который затем выполняется сервером.

Типичные этапы атаки:

  1. Разведка — получение конфигурации сервера через phpinfo.
  2. Создание администратора — добавление нового админ-аккаунта с использованием функции wp_insert_user.
  3. Размещение backdoor-файлов — загрузка вредоносных PHP-скриптов для дальнейшего доступа.
  4. Изменение .htaccess — обход ограничений каталога загрузок.

Наиболее распространённые вредоносные файлы:
xL.php, Canonical.php, upsf.php, tijtewmg.php

Файл upsf.php загружает дополнительные web-shell скрипты с домена злоумышленников racoonlab.top.

Активная эксплуатация по данным Wordfence

Аналитики Wordfence сообщили, что после раскрытия уязвимости 24 ноября, их межсетевой экран заблокировал более 131 000 попыток эксплуатации.

Самые активные IP-адреса злоумышленников:

  • 185.125.50.59 — 74 000+ попыток
  • 182.8.226.51 — 24 200+ попыток
  • 89.187.175.80 — 4 600+ попыток

Премиум-пользователи Wordfence получили защиту 23 июня, бесплатные пользователи — 23 июля.

Степень воздействия и последствия

Если сайт работает на уязвимой версии плагина, злоумышленник может:

  • полностью захватить управление сайтом
  • создать администраторские аккаунты
  • загрузить PHP-backdoor
  • украсть конфиденциальные данные
  • получить доступ к пользовательским сессиям
  • изменить конфигурацию сервера

Дополнительными индикаторами компрометации являются файлы finderdata.txt и goodfinderdata.txt.

Корневая причина уязвимости

Основная причина проблемы — обработка пользовательского ввода без ограничений через call_user_func. Это открывает прямой путь к выполнению произвольного кода на сервере.

Решение: немедленно обновитесь!

Владельцам сайтов настоятельно рекомендуется:

  1. Обновить Sneeit Framework до версии 8.4 или выше.
  2. Проверить список администраторов и удалить подозрительные учётные записи.
  3. Просканировать каталог /wp-content/uploads/ на наличие подозрительных PHP-файлов.
  4. Проверить файл .htaccess на изменения.
  5. Выполнить полное сканирование сайта (Wordfence, ImunifyAV и др.).
  6. Настроить резервное копирование и мониторинг.

Уязвимость CVE-2025-6389 в плагине Sneeit Framework стала одной из самых серьёзных угроз для WordPress за последние месяцы. Она предоставляет злоумышленникам возможности полного захвата сайта и дальнейшего проникновения в систему. Сайты, не успевшие обновить плагин, продолжают подвергаться массовым атакам.

Своевременное обновление плагинов и регулярный мониторинг — главный инструмент защиты WordPress-проектов.