Una grave vulnerabilità di sicurezza nel plugin Sneeit Framework per WordPress sta essere sfruttata attivamente, secondo i dati di Wordfence. La vulnerabilità di esecuzione di codice remoto in questione è CVE-2025-6389 (punteggio CVSS: 9,8), che colpisce tutte le versioni del plugin precedenti e comprese la versione 8.3. stata corretta nella versione 8.4, rilasciata il 5 agosto 2025. Il plugin ha più di 1.700 installazioni attive.
La vulnerabilità si verifica a causa della funzione [sneeit_articles_pagination_callback()] che accetta input dell’utente e lo passa quindi attraverso la funzione call_user_func(), ha detto Wordfence. Ciò rende possibile per gli attaccanti non autenticati eseguire codice sul server, che può essere utilizzato per iniettare backdoor o, ad esempio, creare nuovi account di amministratore. La vulnerabilità può essere sfruttata per chiamare una funzione PHP arbitraria, come wp_insert_user(), per inserire un utente amministratore malintenzionato, che un attaccante può poi utilizzare per prendere il controllo del sito e iniettare codice malintenzionato.
I tentativi di attacco sono stati registrati dagli indirizzi IP 185.125.50[.]59, 182.8.226[.]51, 89.187.175[.]80, 194.104.147[.]192, 196.251.100[.]39, 114.10.116[.]226 e 116.234.108[.]143. La società di sicurezza WordPress ha anche osservato file PHP malintenzionati che vengono con capacità di scansionare directory, leggere, modificare o eliminare file e le loro autorizzazioni, e consentono l’estrazione di file ZIP.
