يواجه آلاف المواقع الإلكترونية حول العالم تهديداً فورياً يتمثل في استغلال ثغرة تنفيذ أكواد عن بعد حرجة في إضافة Sneeit Framework لـ WordPress. وقد بدأت جهات فاعلة في مجال التهديدات الإلكترونية باستغلال هذه الثغرة بشكل نشط.
تم اكتشاف الثغرة، التي تحمل المعرف CVE-2025-6389 وتصنيف CVSS بدرجة 9.8، في الإصدارات 8.3 وما قبلها من الإضافة، والتي تُستخدم حالياً في ما يقرب من 1700 موقع ووردبريس، بالإضافة إلى بعض القوالب المدفوعة.
ثغرة Sneeit Framework: خطر داهم على ملايين المواقع
تم اكتشاف الثغرة الهامة من قبل باحثي الأمن السيبراني في 10 يونيو 2025، وتم إبلاغ البائع بها على الفور. وبعد فترة من الإبلاغ، أصدر فريق تطوير Sneeit Framework إصداراً مُرقَّعاً في 5 أغسطس 2025.
تم الكشف العلني عن تفاصيل الثغرة في 24 نوفمبر 2025. وبنفس اليوم، بدأت حملات استغلال واسعة النطاق تستهدف النسخ غير المحدثة من الإضافة. ووفقاً لمحللي Wordfence، فقد تم حظر أكثر من 131 ألف محاولة استغلال منذ الكشف العلني.
في المقابل، تم توفير حماية من خلال جدار الحماية الخاص بـ Wordfence لمستخدمي الخدمات المدفوعة في 23 يونيو 2025، بينما حصل المستخدمون المجانيون على الحماية في 23 يوليو 2025. ومع ذلك، تستمر الثغرة في التأثير على المواقع التي تستخدم إصدارات غير محدثة.
آليات الاستغلال وطرق الهجوم
تنبع الثغرة من عدم كفاية التحقق من صحة المدخلات في دالة sneeitarticlespaginationcallback، والتي تعالج المعاملات المقدمة من المستخدم دون قيود كافية. يستغل المهاجمون هذا الخلل عن طريق إرسال طلبات AJAX مُصممة خصيصاً إلى نقطة النهاية wp-admin/admin-ajax.php.
يتم استخدام هذه الطلبات، عبر معاملات callback و args، لتنفيذ أكواد PHP عشوائية على الخادم. غالباً ما يبدأ المهاجمون بالاستطلاع باستخدام دوال phpinfo لجمع معلومات حول الخادم.
تتضمن الهجمات اللاحقة محاولات لإنشاء حسابات مسؤول غير مصرح بها أو تحميل ملفات PHP خبيثة لإنشاء وصول خلفي مستمر. أحد المتجهات الهجومية الشائعة يستغل دالة wp_insert_user لإنشاء حسابات إدارية جديدة، مما يمنح المهاجمين سيطرة كاملة على الموقع.
إضافة إلى ذلك، تستخدم الأساليب البديلة تحميل ملفات PHP خبيثة تحمل أسماء مثل xL.php و Canonical.php و tijtewmg.php. هذه الملفات غالباً ما تحتوي على وظائف متقدمة، بما في ذلك مسح الدلائل، وإدارة الملفات، وقدرات استخراج الملفات المضغوطة، وأدوات تعديل الأذونات.
تسهل البرامج الضارة المرتبطة، مثل upsf.php، تنزيل برامج إضافية من المجال الذي يتحكم فيه المهاجم racoonlab.top. تتيح هذه البرامج إنشاء ملفات .htaccess خبيثة تتجاوز قيود دليل التحميل على خوادم Apache، مما يسمح بمزيد من نشر البرامج الضارة.
بات من الضروري لأصحاب المواقع تحديث إضافات Sneeit Framework فوراً إلى الإصدار 8.4 أو أحدث لمعالجة الثغرة الحرجة هذه ومنع اختراق كامل للموقع، بما في ذلك تثبيت أبواب خلفية وسرقة البيانات.