Una grave vulnerabilità di sicurezza sta colpendo il plugin Sneeit Framework per WordPress, secondo quanto riportato dagli esperti di Wordfence. La falla, identificata come CVE-2025-6389 con un punteggio CVSS di 9.8, riguarda tutte le versioni del plugin fino alla 8.3 inclusa ed è stata corretta nella versione 8.4 rilasciata il 5 agosto 2025. Questo plugin è attualmente presente su oltre 1700 siti WordPress.

La vulnerabilità RCE e le modalità di attacco

La vulnerabilità consente l’esecuzione di codice remoto (RCE): la funzione sneeit_articles_pagination_callback accetta input dell’utente e lo passa direttamente a call_user_func, permettendo così a un attaccante non autenticato di eseguire codice arbitrario sul server. Questo può essere sfruttato per inserire backdoor, creare nuovi utenti amministratori malevoli o compromettere completamente il sito, utilizzandolo anche per reindirizzare gli utenti verso siti dannosi o diffondere malware e spam.

Wordfence ha rilevato che gli attacchi sono iniziati subito dopo la divulgazione pubblica della vulnerabilità, il 24 novembre 2025, con oltre 131.000 tentativi di exploit già bloccati. Solo nelle ultime 24 ore sono stati registrati più di 15.000 tentativi. Gli aggressori utilizzano richieste HTTP appositamente costruite verso l’endpoint /wp-admin/admin-ajax.php per creare amministratori malevoli come “arudikadis” e caricare file PHP dannosi (es. tijtewmg.php) che forniscono accesso di tipo backdoor.

File dannosi e tecniche di compromissione

Fra i file PHP malevoli osservati ci sono xL.php, Canonical.php, .a.php e simple.php, alcuni dei quali permettono di leggere, modificare o eliminare file e permessi, oltre a estrarre archivi ZIP. Il file xL.php, in particolare, viene scaricato da un altro script, up_sf.php, progettato per sfruttare la vulnerabilità e installare anche un file .htaccess da un server esterno, racoonlab.top, per facilitare l’esecuzione di script malevoli anche in directory protette.

Nuove minacce: il malware frost e la botnet

Parallelamente, è emerso un altro attacco che sfrutta una vulnerabilità critica in ICTBroadcast (CVE-2025-2611, CVSS 9.3), osservata dai ricercatori VulnCheck. Gli aggressori utilizzano questa falla per scaricare una shell script che installa diverse versioni di un malware chiamato “frost”, specifico per diverse architetture. Il malware frost non si limita a eseguire attacchi DDoS, ma incorpora anche una logica di propagazione tramite exploit multipli. Il botnet risultante, pur essendo relativamente piccolo (<10.000 sistemi vulnerabili), evidenzia un’operazione mirata e sofisticata, con capacità di evasione e copertura delle tracce.