Según datos de Wordfence, se está explotando activamente una falla de seguridad crítica en el complemento Sneeit Framework para WordPress.
La vulnerabilidad de ejecución remota de código en cuestión es CVE-2025-6389 (Puntuación CVSS: 9,8), que afecta a todas las versiones del complemento anteriores a la 8.3 incluida. Fue parcheado en la versión 8.4, lanzada el 5 de agosto de 2025. El complemento tiene más de 1700 instalaciones activas.
«Esto se debe a la [sneeit_articles_pagination_callback()] función que acepta la entrada del usuario y luego la pasa a través de call_user_func(),» Wordfence dicho. «Esto hace posible que atacantes no autenticados ejecuten código en el servidor, que puede aprovecharse para inyectar puertas traseras o, por ejemplo, crear nuevas cuentas de usuario administrativo».
En otras palabras, la vulnerabilidad se puede aprovechar para llamar a una función PHP arbitraria, como wp_insert_user(), para insertar un usuario administrador malicioso, que luego un atacante puede utilizar como arma para tomar el control del sitio e inyectar código malicioso que puede redirigir a los visitantes del sitio a otros sitios dudosos, malware o spam.
Wordfence dijo que la explotación en estado salvaje comenzó el 24 de noviembre de 2025, el mismo día en que se reveló públicamente, y la compañía bloqueó más de 131.000 intentos dirigidos a la falla. Fuera de estos, 15.381 intentos de ataque se registraron sólo en las últimas 24 horas.
Algunos de los esfuerzos incluyen enviar solicitudes HTTP especialmente diseñadas al punto final «/wp-admin/admin-ajax.php» para crear una cuenta de usuario administrador maliciosa como «arudikadis» y cargar un archivo PHP malicioso «tijtewmg.php» que probablemente conceda acceso de puerta trasera.
Los ataques se originaron desde las siguientes direcciones IP:
- 185.125.50[.]59
- 182.8.226[.]51
- 89.187.175[.]80
- 194.104.147[.]192
- 196.251.100[.]39
- 114.10.116[.]226
- 116.234.108[.]143
La compañía de seguridad de WordPress dijo que también observó archivos PHP maliciosos que vienen con capacidades para escanear directorios, leer, editar o eliminar archivos y sus permisos, y permitir la extracción de archivos ZIP. Estos archivos PHP reciben los nombres «xL.php», «Canonical.php», «.a.php» y «simple.php».
El shell «xL.php», según Wordfence, se descarga mediante otro archivo PHP llamado «up_sf.php» que está diseñado para explotar la vulnerabilidad. También descarga un archivo «.htaccess» desde un servidor externo («racoonlab[.]top») en el host comprometido.
«Este archivo .htaccess garantiza que se concede acceso a archivos con determinadas extensiones en los servidores Apache», dijo István Márton. «Esto es útil en casos en los que otros archivos .htaccess prohíben el acceso a scripts, por ejemplo, en directorios de carga».
Fallo de ICTBroadcast explotado para entregar botnet DDoS «Frost»
La divulgación se produce cuando VulnCheck dijo que observó nuevos ataques que explotaban una falla crítica de ICTBroadcast (CVE-2025-2611puntuación CVSS: 9,3) apuntando a sus sistemas honeypot para descargar un script de shell stager que descarga múltiples versiones específicas de la arquitectura de un binario llamado «frost».
Se ejecuta cada una de las versiones descargadas, seguido de la eliminación de las cargas útiles y del propio stager para ocultar rastros de la actividad. El objetivo final de la actividad es llevar a cabo ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.
«El binario 'frost' combina herramientas DDoS con lógica esparcidora que incluye catorce exploits para quince CVE», Jacob Baines de VulnCheck dicho. «Lo importante es cómo se propaga. El operador no está bombardeando Internet con exploits. 'Frost' comprueba primero el objetivo y sólo procede con la explotación cuando ve los indicadores específicos que espera».
Por ejemplo, el binario explota CVE-2025-1610 solo después de recibir una respuesta HTTP que contiene «Set-Cookie: usuario=(null)» y luego una respuesta de seguimiento a una segunda solicitud que contiene «Set-Cookie: usuario=admin». Si esos marcadores no están presentes, el binario permanece inactivo y no hace nada. Los ataques se lanzan desde la dirección IP 87.121.84[.]52.
Si bien las vulnerabilidades identificadas han sido explotadas por varias botnets DDoS, la evidencia apunta a que los últimos ataques son una operación pequeña y dirigida, dado que hay menos de 10.000 sistemas expuestos a Internet que son susceptibles a ellos.
«Esto limita el tamaño que puede alcanzar una botnet construida sobre estos CVE, lo que convierte a este operador en un actor relativamente pequeño», afirmó Baines. «En particular, el exploit ICTBroadcast que entregó esta muestra no aparece en el binario, lo que indica que el operador tiene capacidades adicionales que no son visibles aquí».
Fuente