Según los datos de Wordfence, se está explotando activamente una falla de seguridad crítica en el complemento Sneeit Framework para WordPress.

La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (puntuación CVSS: 9.8), que afecta a todas las versiones del plugin anteriores a la 8.3, incluida. Se ha parcheado en la versión 8.4, publicada el 5 de agosto de 2025. El plugin tiene más de 1.700 instalaciones activas.

«Esto se debe a que la función [sneeit_articles_pagination_callback ()] acepta la entrada del usuario y luego la pasa a través de call_user_func ()», Wordfence dijo . «Esto hace posible que los atacantes no autenticados ejecuten código en el servidor, lo que puede aprovecharse para introducir puertas traseras o, por ejemplo, crear nuevas cuentas de usuario administrativas».

En otras palabras, la vulnerabilidad se puede aprovechar para invocar una función PHP arbitraria, como wp_insert_user (), para insertar un usuario administrador malintencionado, que un atacante puede utilizar como arma para hacerse con el control del sitio e inyectar código malintencionado que puede redirigir a los visitantes del sitio a otros sitios incompletos, malware o correo no deseado.

Wordfence dijo que la explotación en estado salvaje comenzó el 24 de noviembre de 2025, el mismo día en que se dio a conocer públicamente, y que la empresa bloqueó más de 131 000 intentos para atacar la falla. De estos, 15.381 intentos de ataque se grabaron solo en las últimas 24 horas.

Algunos de los esfuerzos incluyen el envío de solicitudes HTTP especialmente diseñadas al punto final "/wp-admin/admin-ajax.php" para crear una cuenta de usuario administrador malintencionada como «arudikadis» y cargar un archivo PHP malicioso "tijtewmg.php" que probablemente permita el acceso de puerta trasera.

Los ataques se originaron en las siguientes direcciones IP -

  • 185125,50 [.] 59
  • 182.8.226 [.] 51
  • 89.187,175 [.] 80
  • 194.104.147 [.] 192
  • 196,251.100 [.] 39
  • 114 de octubre de 116 [.] 226
  • 116,234,108 [.] 143

La compañía de seguridad WordPress dijo que también observó archivos PHP maliciosos que vienen con capacidades para escanear directorios, leer, editar o eliminar archivos y sus permisos, y permiten la extracción de archivos ZIP. Estos archivos PHP se conocen con los nombres "xL.php», "Canonical.php», «.a.php» y «simple.php».

El shell "xL.php", según Wordfence, se descarga mediante otro archivo PHP llamado "up_sf.php" que está diseñado para aprovechar la vulnerabilidad. También descarga un archivo «.htaccess» desde un servidor externo («racoonlab [.] top») al host infectado.

«Este archivo.htaccess garantiza que el acceso a los archivos con ciertas extensiones se conceda en los servidores Apache», afirma István Márton. «Esto resulta útil en los casos en los que otros archivos .htaccess prohíben el acceso a los scripts, por ejemplo, en los directorios de carga».

Aprovechan la falla de ICTBroadcast para lanzar la botnet DDoS «Frost»

La revelación se produce cuando VulnCheck afirmó haber observado nuevos ataques que aprovechaban una falla crítica de la transmisión de las TIC ( CVE-2025-2611 , puntuación CVSS: 9.3) apuntando a sus sistemas honeypot para descargar un stager de scripts de shell que descarga varias versiones específicas de la arquitectura de un binario llamado «frost».

Se ejecuta cada una de las versiones descargadas, seguida de la eliminación de las cargas útiles y del propio stager para ocultar los rastros de la actividad. El objetivo final de la actividad es llevar a cabo ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.

«El binario 'frost' combina las herramientas de DDoS con una lógica de propagación que incluye catorce exploits para quince CVE», dijo Jacob Baines, de VulnCheck dijo . «Lo importante es cómo se propaga. El operador no está bombardeando Internet con exploits. «Frost» comprueba primero el objetivo y solo procede a explotarlo cuando ve los indicadores específicos que espera».

Por ejemplo, el binario explota CVE-2025-1610 solo después de recibir una respuesta HTTP que contiene «Set-Cookie: user= (null)» y, a continuación, una respuesta de seguimiento a una segunda solicitud que contiene «Set-Cookie: user=admin». Si esos marcadores no están presentes, el binario permanece inactivo y no hace nada. Los ataques se lanzan desde la dirección IP 87.121.84 [.] 52.

Si bien las vulnerabilidades identificadas han sido explotadas por varias botnets DDoS, la evidencia apunta a que los ataques más recientes fueron una operación pequeña y dirigida, dado que hay menos de 10 000 sistemas expuestos a Internet que son susceptibles a ellos.

«Esto limita el tamaño que puede alcanzar una red de bots basada en estas CVE, lo que convierte a este operador en un actor relativamente pequeño», dijo Baines. «Cabe destacar que el exploit de ICTBroadcast que generó este ejemplo no aparece en el binario, lo que indica que el operador tiene capacidades adicionales que no se muestran aquí».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.