Una vulnerabilidad crítica (CVSS 9.8) en el plugin Sneeit Framework para WordPress está siendo explotada activamente, lo que pone en riesgo sitios web que aún usen versiones vulnerables. La falla, registrada como CVE-2025-6389, afecta a todas las versiones del plugin hasta la 8.3 inclusive, y fue corregida recién en la versión 8.4.

La vulnerabilidad permite la ejecución remota de código sin necesidad de autenticación. En concreto, la función sneeit_articles_pagination_callback() acepta datos enviados por el usuario y los pasa directamente a call_user_func(), lo que posibilita que un atacante remoto llame a cualquier función PHP arbitraria en el servidor.

Tan pronto como se divulgó públicamente la vulnerabilidad el 24 de noviembre de 2025, comenzaron los ataques masivos. Según la firma de seguridad Wordfence, ya se bloquearon más de 131.000 intentos de explotación en instalaciones vulnerables.

Entre las consecuencias para un sitio comprometido se encuentran: creación de cuentas con privilegios administrativos no autorizadas, subida de puertas traseras (web shells), modificaciones de archivos de configuración, instalación de backdoors persistentes y control total del sitio por parte del atacante.

Para los administradores de un sitio WordPress, lo urgente es revisar si usan Sneeit Framework — y en qué versión —, y si es una versión vulnerable, actualizar inmediatamente a la 8.4 o superior. Además, conviene inspeccionar los archivos del sitio, las cuentas de administrador, los logs de acceso, y eliminar cualquier elemento inusual.

Este episodio vuelve a subrayar lo esencial de mantener todos los componentes (plugins, temas y núcleo) de WordPress actualizados ya que una sola vulnerabilidad puede derivar en un compromiso total del sitio.

Indicadores de compromiso (IOCs)

Algunos de los indicadores de compromiso (IOCs) identificados por Wordfence son:

  • Archivos PHP desconocidos en carpetas habituales de WordPress — por ejemplo: xL.php, Canonical.php, up_sf.php, tijtewmg.php.
  • Modificaciones sospechosas en archivos .htaccess, o su aparición si antes no existían.

Direcciones de IP maliciosas:

  • 185.125.50.59
  • 182.8.226.51
  • 89.187.175.80
  • 194.104.147.192
  • 196.251.100.39
  • 114.10.116.226
  • 116.234.108.143

Fuente

https://www.wordfence.com/blog/2025/12/attackers-actively-exploiting-critical-vulnerability-in-sneeit-framework-plugin/

https://www.cve.org/CVERecord?id=CVE-2025-6389