Un fallo de seguridad crítico en el plugin Sneeit Framework para WordPress está siendo aprovechado activamente en el mundo real. La vulnerabilidad de ejecución remota de código (RCE), identificada como CVE-2025-6389 con un puntaje CVSS de 9.8, afecta a todas las versiones del plugin anteriores a la 8.4, la cual fue lanzada el 5 de agosto de 2025 para corregir el problema. Este plugin cuenta con más de 1,700 instalaciones activas.

La vulnerabilidad reside en la función `sneeit_articles_pagination_callback()`, que acepta entradas del usuario y las pasa a través de `call_user_func()`. Esto permite a atacantes no autenticados ejecutar código en el servidor, inyectar backdoors o crear cuentas de usuario administrativas maliciosas.

Los ataques observados incluyen la creación de un usuario administrador malicioso como “arudikadis” y la carga de un archivo PHP malicioso llamado “tijtewmg.php”, que probablemente otorga acceso backdoor.

Los ataques se originan de las siguientes direcciones IP:

* 185.125.50[.]59
* 182.8.226[.]51
* 89.187.175[.]80
* 194.104.147[.]192
* 196.251.100[.]39
* 114.10.116[.]226
* 116.234.108[.]143

También se han observado archivos PHP maliciosos como “xL.php”, “Canonical.php”, “.a.php” y “simple.php” que permiten escanear directorios, leer, editar o eliminar archivos y sus permisos, así como extraer archivos ZIP. El shell “xL.php” es descargado por otro archivo PHP llamado “up_sf.php” y descarga un archivo “.htaccess” desde el servidor externo “racoonlab[.]top”.

Por otro lado, VulnCheck ha detectado ataques que explotan una vulnerabilidad crítica en ICTBroadcast (CVE-2025-2611, puntaje CVSS: 9.3) para descargar un shell script que, a su vez, descarga múltiples versiones de una binario llamado “frost”, específico para cada arquitectura. El objetivo final de esta actividad es llevar a cabo ataques de denegación de servicio distribuido (DDoS).

El binario “frost” combina herramientas DDoS con lógica de propagación, utilizando 14 exploits para 15 CVEs. Este malware verifica las características del objetivo antes de intentar la explotación, lo que indica una operación dirigida.

Los ataques de Frost se lanzan desde la dirección IP 87.121.84[.]52.

En INGENIERÍA TELEMÁTICA SAS, recomendamos encarecidamente revisar la seguridad de sus sitios WordPress, actualizar el plugin Sneeit Framework a la versión 8.4 o superior, y monitorear el tráfico de red en busca de actividades sospechosas. Para ICTBroadcast, aplicar las actualizaciones de seguridad correspondientes y verificar la integridad del sistema es crucial. Si necesita ayuda con la evaluación de vulnerabilidades, hardening de sus sistemas o implementación de soluciones de seguridad robustas, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente.

Fuente original: Ver aquí