Une faille critique d’exécution de code à distance (RCE) affectant le framework Sneeit — un plugin central intégré à de nombreux thèmes premium — est actuellement exploitée pour prendre le contrôle complet de sites WordPress. Bien qu’un correctif ait été discrètement publié en août 2025, la divulgation publique du 24 novembre a déclenché une vague immédiate et massive d’attaques automatisées.

Contexte

Le Sneeit Framework est largement distribué au sein de thèmes premium, notamment FlatNews, un thème éditorial très populaire. Présent sur plusieurs milliers de sites, il fournit des fonctionnalités avancées de pagination, d’affichage de contenus et d’outils internes aux thèmes.

Le composant vulnérable repose sur un mécanisme interne de callback utilisé lors du chargement dynamique d’articles.

Détail de la vulnérabilité

La vulnérabilité CVE-2025-6389 (CVSS 9.8) provient d’une erreur de conception dans la fonction interne sneeit_articles_pagination_callback().

Cette fonction accepte des paramètres fournis par l’utilisateur, puis les transmet directement à call_user_func() sans aucune validation ni restriction.

Grâce à cela, un attaquant non authentifié peut appeler n’importe quelle fonction PHP du serveur, avec des paramètres arbitraires, via les champs : callback ouargsouvrant ainsi la porte à une exécution de code à distance (RCE) sans authentification.

Exploitations observées

Des compromissions ont déjà été observées et les charge utiles sont diverses :

1. Création de comptes administrateurs malveillants

Des requêtes ciblant le callback vulnérable tentent d’injecter un nouvel utilisateur administrateur afin de prendre immédiatement le contrôle du back-office.

2. Dépôt de backdoors PHP

Les attaquants déposent des fichiers PHP déguisés en composants système, par exemple :

  • xL.php

  • Canonical.php

  • .a.php

  • tijtewmg.php

  • up_sf.php

Pour masquer leur présence, certains fichiers malveillants imitent la signature d’un fichier légitime de WordPress (canonical.php), en reprenant son bloc de commentaire initial.

Indicateurs de compromission

Si votre site utilise le framework Sneeit, vérifiez immédiatement les éléments suivants :

Fichiers suspects à rechercher

  • xL.php

  • up_sf.php

  • tijtewmg.php

  • Canonical.php ou variantes anormales

  • Toute présence de fichiers .php récemment modifiés dans /wp-content/ ou /wp-includes/

Fichiers .htaccess anormaux

Certains attaquants déposent un fichier .htaccess contenant des règles ciblant des extensions spécifiques (ex. .py, .exe, .phtml) pour faciliter l’exécution de fichiers arbitraires.

Adresses IP fréquemment associées aux attaques

Certaines infrastructures automatisées ont généré un volume extrêmement élevé de requêtes malveillantes, notamment :

  • 185.125.50.59 (plus de 74 000 tentatives)

  • 182.8.226.51 (plus de 24 000 tentatives)

Mesures de remédiation

  • Mettre à jour immédiatement le Sneeit Framework vers la version 8.4 ou supérieure. Toutes les versions ≤ 8.3 sont vulnérables.
  • Analyser les fichiers récemment modifiés

 

La vulnérabilité CVE-2025-6389 est déjà présente au sein de Seckhmet.

BackdoorCVE-2025-6389RCERemote Code ExecutionSecurity AdvisoryWordPress SecurityWordPress Vulnerability
By Français, TechLeave a Comment on Vulnérabilité critique dans le framework WordPress Sneeit : exécution de code non authentifiée (CVE-2025-6389) activement exploitée

Leave a Reply

Your email address will not be published. Required fields are marked *