WordPress 的 Sneeit Framework 外掛程式有遠端程式碼執行漏洞,漏洞編號為 CVE-2025-6389(CVSS 9.8),影響 8.3 及更早版本。該漏洞已在 2025 年 8 月 5 日發布的 8.4 版本中修復,目前該插件的活躍安裝量超過 1700 個。
sneeit_articles_pagination_callback() 的實作會將使用者輸入傳遞給 call_user_func(),從而允許呼叫任意 PHP 函數,例如 wp_insert_user(),這使得未經身份驗證的攻擊者可以建立管理員使用者或安裝後門。
Wordfence 聲稱該漏洞於 2025 年 11 月 24 日發布,至今已攔截超過 131,000 次攻擊嘗試,其中 15,381 次發生在過去 24 小時內。這些攻擊使用精心建構的 HTTP 請求存取“/wp-admin/admin-ajax.php”,據觀察,這些請求會建立“arudikadis”使用者並上傳“tijtewmg.php”文件,且攻擊源自一組特定的 IP 位址。
已發現有針對 xL.php、Canonical.php、.a.php 和 simple.php 等 PHP 檔案以及從「racoonlab[.]top」取得 .htaccess 檔案的攻擊。此外,VulnCheck 報告稱,有攻擊者利用 ICTBroadcast 的 CVE-2025-2611 漏洞(CVSS 9.3)部署了「frost」二進位檔案。
frost 包含 14 個針對 15 個 CVE 的漏洞利用程序,且其行為會檢查特定的 Set-Cookie 回應,以此作為利用 CVE-2025-1610 的條件。攻擊是從 IP 位址 87.121.84[.]52 發動的。
從: 
Sneeit WordPress遠端程式碼執行漏洞已被利用,而ICTBroadcast漏洞則助長了Frost殭屍網路攻擊。
【社論】
Sneeit Framework 的這個漏洞之所以引起關注,是因為它極易被利用。將未經驗證的使用者輸入傳遞給 `call_user_func()` 函數是 PHP 安全性中典型的反模式。透過允許在未經身份驗證的情況下呼叫任何 PHP 函數,攻擊者可以利用 `phpinfo()` 收集環境信息,使用 `wp_insert_user()` 建立管理員帳戶,從而完全控制網站。
漏洞於11月24日公開後,攻擊立即開始,攻擊者迅速利用了公開資訊。修補程式本身於8月5日發布,但由於漏洞細節並未公開,許多網站管理員可能沒有意識到問題的緊迫性,從而延遲了更新。
尤其令人擔憂的是,當此外掛程式與 FlatNews 等主題捆綁在一起時。如果網站管理員不知道 Sneeit Framework 的存在,他們可能會認為漏洞資訊與他們無關。因此,務必檢查插件清單中是否存在「sneeit-framework」。
另一方面,Frost殭屍網路展現出與傳統惡意軟體不同的複雜行為。它會在攻擊前對目標系統進行指紋識別,然後在利用漏洞前檢查特定回應(例如Set-Cookie標頭的內容)。這種策略使其能夠繞過蜜罐等安全監控系統,並有效率地感染所有運作中的系統。
儘管目前影響範圍有限,但有消息指出,攻擊者可能還掌握著尚未公開的其他漏洞方法,因此未來仍需保持警覺。這次事件再次凸顯了在整個 WordPress 生態系統中建立外掛依賴關係和更新狀態視覺化系統的重要性。
[術語]
CVE(通用漏洞揭露)
通用漏洞揭露 (CVE) 是分配給安全漏洞的唯一識別號,由年份和數字組成,例如 CVE-2025-6389。它們為世界各地的安全研究人員和組織提供了一種通用語言,用於討論相同的漏洞。
CVSS(通用漏洞評分系統)
這是一個標準指標,用於評估漏洞的嚴重程度,分數範圍從 0.0 到 10.0。9.0 分或更高被歸類為“嚴重”,需要立即採取行動。 CVE-2025-6389 的得分高達 9.8 分。
遠端程式碼執行 (RCE)
遠端程式碼執行 (RCE) 是一種漏洞,攻擊者可以透過網路在目標系統上執行任意程式碼。它被認為是最危險的漏洞類型之一,因為它允許攻擊者在無需物理訪問的情況下完全控制伺服器。
呼叫使用者函數()
PHP程式語言中的函數,可以動態執行以字串形式傳遞的函數名稱。雖然它很有用,但如果沒有適當的使用者輸入驗證就使用它,則可能造成嚴重的安全漏洞,使攻擊者能夠呼叫任意函數。
後門<br>一種用於存取系統的隱藏通道,可以繞過正常的身份驗證程序。它由攻擊者在初始入侵後安裝,用於確保持續訪問,且難以檢測。
[參考連結]
Wordfence (外部)
這是一個專門針對 WordPress 網站的安全性外掛和服務,超過 700 萬個網站使用。他們已發布一份關於漏洞的詳細報告。
VulnCheck (外部)
漏洞情報平台提供者。對Frost DDoS殭屍網路進行了行為分析,並報告了其選擇性攻擊方法。
國家漏洞資料庫(NVD) (外部)
由美國國家標準與技術研究院營運的漏洞資料庫。它提供CVE資訊和CVSS評級的全面詳細的技術分析。
WordPress外掛目錄(外部)
官方 WordPress 外掛程式庫。已註冊超過 60,000 個插件,您可以查看版本歷史記錄和更新資訊。
[參考文章]
攻擊者正在積極利用 Sneeit 框架插件(外部)中的關鍵漏洞
來自 Wordfence 官方部落格的技術分析,詳細介紹了攔截的攻擊數量(超過 131,000 次)以及攻擊的來源 IP 位址。
Frost 首先進行檢驗:選擇性利用(外部)
VulnCheck 對 Frost 殭屍網路進行了分析,包括對該二進位檔案的運行機制和選擇性攻擊方法的技術解釋,其中列出了 14 個漏洞利用方法。
CVE-2025-6389 詳情(外部)
NIST 官方漏洞資料庫中的條目,提供了 CVSS 9.8 評分和影響的詳細分析。
WordPress 外掛嚴重漏洞:Sneeit 框架正被積極利用(外部)
SiteGuarding 提供的應對措施指南。說明如何更新到 8.4 版本以及如何掃描以確認感染情況。
[編者註]
如果您使用的是 WordPress 網站,不妨打開插件列表,檢查一下是否包含「sneeit-framework」插件?它可能包含在主題中,因此可能在您不知情的情況下被安裝了。
這次事件或許是重新審視便利性和安全性之間權衡的機會。您是如何管理插件更新檢查的?是應該啟用自動更新,還是應該手動仔細檢查?如果您在日常操作中發現任何問題,請務必告知我。
