WordPress’da xavfli RCE zaifligi: Sneeit Framework plagini orqali keng ko‘lamli hujumlar boshlangan

WordPress ekotizimida yana bir xavfli tahdid aniqlanmoqda. So‘nggi kunlarda “Sneeit Framework” plagini orqali masofadan turib kod bajarishga imkon beruvchi (RCE – Remote Code Execution) kritik darajadagi zaiflik kiberjinoyatchilar tomonidan faol ekspluatatsiya qilinmoqda. CVE-2025-6389 identifikatori bilan ro‘yxatga olingan ushbu zaiflikning CVSS ko‘rsatkichi 9.8 bo‘lib, u to‘liq sayt egallab olinishi, administrator huquqlarining qo‘lga kiritilishi va zararli fayllar joylashtirilishi kabi og‘ir oqibatlarga olib keladi.

Zaiflikning kelib chiqishi va tarixi

Sneeit Framework plagini WordPress saytlarida keng qo‘llanadigan funksional modullardan biridir. Uning 8.3 va undan avvalgi versiyalarida foydalanuvchi tomonidan uzatilgan parametrlar yetarlicha tekshirilmaganligi aniqlangan. Aynan sneeitarticlespaginationcallback funksiyasida mavjud bo‘lgan noto‘g‘ri input ishlov berish mexanizmi orqali hujumchi call_user_func chaqiruvidan foydalanib serverda istalgan PHP kodni bajara oladi.

Ushbu zaiflik:

  • 2025-yil 10-iyunda tadqiqotchilar tomonidan aniqlangan
  • 5-avgust kuni ishlab chiquvchilar tomonidan yamalgan (versiya 8.4)
  • 24-noyabr kuni ommaga e’lon qilingan
  • O‘sha kuni atroflicha hujumlar boshlangan

Plaginning 1 700 dan ortiq faol o‘rnatilishi borligi sababli ta’sir doirasi ancha katta.

Qanday hujum qilinmoqda?

Zararli faoliyatning asosiy vektori — wp-admin/admin-ajax.php manzili orqali yuboriladigan maxsus shakllantirilgan AJAX so‘rovlari. Hujumchilar POST so‘rovlari orqali zararli kodni callback va args parametrlariga joylab, serverda uni bevosita ishga tushiradi.

Ularning tipik harakatlari quyidagicha:

  1. Razvedka bosqichi — phpinfo orqali server konfiguratsiyasini aniqlash.
  2. Administrator yaratishwp_insert_user funksiyasi yordamida yangi administrator hisobi qo‘shish.
  3. Backdoor joylashtirish — zararli PHP fayllarni yuklash orqali doimiy kirish nuqtasi yaratish.
  4. .htaccess ni o‘zgartirish — yuklash katalogidagi cheklovlarni chetlab o‘tish.

Hujumlarda ko‘p uchrayotgan zararli fayl nomlari:
xL.php, Canonical.php, upsf.php, tijtewmg.php

upsf.php fayli hujumchi nazoratidagi racoonlab.top domenidan qo‘shimcha web-shell yuklash imkonini beradi.

Wordfence tomonidan qayd etilgan faol ekspluatatsiya

Wordfence xavfsizlik tahlilchilari 24-noyabr kuni ekspluatatsiya boshlangach, bir necha kun ichida 131 mingdan ortiq hujum urinishlarini bloklaganini ma’lum qildi.

Eng faol hujumchi IP manzillar:

  • 185.125.50.59 — 74 000+ urinish
  • 182.8.226.51 — 24 200+ urinish
  • 89.187.175.80 — 4 600+ urinish

Premium Wordfence foydalanuvchilari 23-iyundan, bepul foydalanuvchilar 23-iyuldan himoya qamroviga ega bo‘lgan.

Ta’sir darajasi va oqibatlar

Agar sayt zaif versiyada ishlayotgan bo‘lsa, hujumchi quyidagi imkoniyatlarga ega bo‘ladi:

  • To‘liq saytni qo‘lga olish
  • Ma’muriy hisoblar yaratish
  • PHP backdoorlar joylashtirish
  • Ma’lumotlarni o‘g‘irlash
  • Foydalanuvchi sesiyalariga kirish
  • Server konfiguratsiyasiga zarar yetkazish

Tahlilchilar qo‘shimcha ravishda finderdata.txt va goodfinderdata.txt kabi fayllarning paydo bo‘lishi ham kompromat belgisi ekanini ta’kidlashmoqda.

Zaiflikning ildiz sababi

Ushbu xatolikning asosiy manbai — foydalanuvchi kiritmalarini cheklamasdan call_user_func orqali qayta ishlash. Bu esa hujumchiga serverda to‘liq erkinlik yaratib beradi.

Yechim: darhol yangilang!

Sayt egalari quyidagi choralarni zudlik bilan amalga oshirishlari shart:

  1. Sneeit Framework plaginini 8.4 yoki undan yuqori versiyaga yangilang.
  2. WordPress administratorlar bo‘limidan barcha foydalanuvchi hisoblarini tekshiring.
  3. /wp-content/uploads/ katalogida g‘alati PHP fayllarni izlang.
  4. .htaccess faylini shubhali o‘zgarishlar bor-yo‘qligi uchun ko‘zdan kechiring.
  5. Web-serverni to‘liq skaner qiling (Wordfence, ImunifyAV yoki boshqa vositalar orqali).
  6. So‘nggi nusxalarni tiklash mexanizmlarini yo‘lga qo‘ying.

Sneeit Framework plaginidagi CVE-2025-6389 zaifligi WordPress platformasidagi eng xavfli tahdidlardan biri sifatida baholanmoqda. U nafaqat saytni egallab olish, balki keyingi bosqichlarda butun infratuzilmaga chuqur kirish imkonini beradigan darajada xavflidir. Vaqtida yangilanish kiritmagan resurslar esa tobora ko‘proq kiberhujumlarga uchrab, zarar ko‘rishda davom etmoqda.

Saytingiz xavfsizligini ta’minlashning eng muhim qadami — plaginlarni vaqtida yangilash va muntazam monitoring olib borishdir.