Según datos de Wordfence, se está explotando activamente una defecto de seguridad crítica en el complemento Sneeit Framework para WordPress.
La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (Puntuación CVSS: 9,8), que afecta a todas las versiones del complemento anteriores a la 8.3 incluida. Fue parcheado en la lectura 8.4, puyazo el 5 de agosto de 2025. El complemento tiene más de 1700 instalaciones activas.
“Esto se debe a que la función (sneeit_articles_pagination_callback()) acepta la entrada del heredero y luego la pasa a través de call_user_func()”, dijo Wordfence. “Esto hace posible que atacantes no autenticados ejecuten código en el servidor, que puede aprovecharse para inyectar puertas traseras o, por ejemplo, crear nuevas cuentas de heredero oficinista”.
En otras palabras, la vulnerabilidad se puede beneficiarse para citar a una función PHP arbitraria, como wp_insert_user(), para insertar un heredero administrador ladino, que luego un atacante puede utilizar como armas para tomar el control del sitio e inyectar código ladino que puede redirigir a los visitantes del sitio a otros sitios dudosos, malware o spam.
Wordfence dijo que la explotación en estado salvaje comenzó el 24 de noviembre de 2025, el mismo día en que se reveló públicamente, y la compañía bloqueó más de 131.000 intentos dirigidos a la defecto. De estos, sólo en las últimas 24 horas se registraron 15.381 intentos de ataque.
Algunos de los esfuerzos incluyen cursar solicitudes HTTP especialmente diseñadas al punto final “/wp-admin/admin-ajax.php” para crear una cuenta de heredero administrador maliciosa como “arudikadis” y cargar un archivo PHP ladino “tijtewmg.php” que probablemente conceda entrada de puerta trasera.
Los ataques se originaron desde las siguientes direcciones IP:
- 185.125.50(.)59
- 182.8.226(.)51
- 89.187.175(.)80
- 194.104.147(.)192
- 196.251.100(.)39
- 114.10.116(.)226
- 116.234.108(.)143
La compañía de seguridad de WordPress dijo que asimismo observó archivos PHP maliciosos que vienen con capacidades para escanear directorios, estudiar, editar o eliminar archivos y sus permisos, y permitir la procedencia de archivos ZIP. Estos archivos PHP reciben los nombres “xL.php”, “Canonical.php”, “.a.php” y “simple.php”.
El shell “xL.php”, según Wordfence, se descarga mediante otro archivo PHP llamado “up_sf.php” que está diseñado para explotar la vulnerabilidad. Igualmente descarga un archivo “.htaccess” desde un servidor forastero (“racoonlab(.)top”) al host comprometido.
“Este archivo .htaccess garantiza que se concede entrada a archivos con determinadas extensiones en los servidores Apache”, afirmó István Márton. “Esto es útil en casos en los que otros archivos .htaccess prohíben el entrada a scripts, por ejemplo, en directorios de carga”.
Decisión de ICTBroadcast explotado para entregar botnet DDoS “Frost”
La divulgación se produce cuando VulnCheck dijo que observó nuevos ataques que explotaban una defecto crítica de ICTBroadcast (CVE-2025-2611, puntuación CVSS: 9.3) dirigida a sus sistemas honeypot para descargar un script de shell que descarga múltiples versiones específicas de obra de un binario llamado “frost”.
Se ejecuta cada una de las versiones descargadas, seguido de la matanza de las cargas enseres y del propio stager para ocultar rastros de la actividad. El objetivo final de la actividad es aceptar a punta ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.
“El binario ‘frost’ combina herramientas DDoS con dialéctica esparcidora que incluye catorce exploits para quince CVE”, dijo Jacob Baines de VulnCheck. “Lo importante es cómo se propaga. El cámara no está bombardeando Internet con exploits. ‘Frost’ comprueba primero el objetivo y sólo procede con la explotación cuando ve los indicadores específicos que prórroga”.
Por ejemplo, el binario explota CVE-2025-1610 solo posteriormente de cobrar una respuesta HTTP que contiene “Set-Cookie: heredero=(null)” y luego una respuesta de seguimiento a una segunda solicitud que contiene “Set-Cookie: heredero=admin”. Si esos marcadores no están presentes, el binario permanece inactivo y no hace ausencia. Los ataques se lanzan desde la dirección IP 87.121.84(.)52.
Si admisiblemente las vulnerabilidades identificadas han sido explotadas por varias botnets DDoS, la evidencia apunta a que los últimos ataques son una operación pequeña y dirigida, cubo que hay menos de 10.000 sistemas expuestos a Internet que son susceptibles a ellos.
“Esto limita el tamaño que puede alcanzar una botnet construida sobre estos CVE, lo que convierte a este cámara en un actor relativamente pequeño”, afirmó Baines. “En particular, el exploit ICTBroadcast que entregó esta muestra no aparece en el binario, lo que indica que el cámara tiene capacidades adicionales que no son visibles aquí”.
