Sneeit Framework WordPress eklentisindeki kritik bir uzaktan kod yürütme güvenlik açığı, tehdit aktörleri tarafından aktif olarak istismar edildi ve dünya çapında binlerce web sitesi için acil bir risk oluşturdu.
CVSS puanı 9,8 olan ve CVE-2025-6389 olarak takip edilen güvenlik açığı, çok sayıda WordPress sitesinde ve premium temalarda yaklaşık 1.700 aktif kurulumu sürdüren eklentinin 8.3 ve önceki sürümlerinde mevcut.
Güvenlik araştırmacıları, 10 Haziran 2025’te güvenlik açığını keşfetti ve bunu satıcıya bildirdi.
Sneeit Framework geliştirme ekibi 5 Ağustos 2025’te yamalı bir sürüm yayınladı ve güvenlik açığı 24 Kasım 2025’te kamuya açıklandı.
Tehdit aktörleri, kamuya açıklandığı gün, yama yapılmamış tesislere karşı yaygın saldırılar düzenleyerek istismar girişimlerine başladı.
Wordfence güvenlik analistleri istismar kampanyasını tespit edip belgeledi; bu, Wordfence Güvenlik Duvarının kamuya açıklanmasından bu yana 131.000’den fazla istismar girişimini engellediğini ortaya çıkardı.
Güvenlik duvarı koruması 23 Haziran 2025’te premium kullanıcılara sağlandı ve ücretsiz kullanıcılar 23 Temmuz 2025’te koruma aldı.
Bu korumaya rağmen güvenlik açığı, eklentinin yama yapılmamış sürümlerini kullanan web sitelerini etkilemeye devam ediyor.
Güvenlik açığı, kullanıcı tarafından sağlanan parametreleri uygun kısıtlama olmadan işleyen sneeiarticlespaginationcallback işlevindeki yetersiz giriş doğrulamasından kaynaklanıyor.
Saldırganlar, wp-admin/admin-ajax.php uç noktasına özel hazırlanmış AJAX istekleri göndererek ve sunucuda rastgele PHP kodu yürütmek için geri çağırma ve args parametrelerinden yararlanarak bu kusurdan yararlanır.
Sömürü Mekaniği ve Saldırı Vektörleri
Tehdit aktörleri bu güvenlik açığını silah haline getirmek için birden fazla taktik kullanıyor. İlk yararlanma genellikle AJAX işleyicisi aracılığıyla kötü amaçlı kod içeren POST isteklerinin gönderilmesini içerir.
Saldırılar, sunucu bilgilerini toplamak için phpinfo işlevlerini kullanan keşifle başlayan tutarlı bir modeli takip ediyor.
Sonraki istekler, kalıcı arka kapı erişimi sağlamak için yetkisiz yönetici hesapları oluşturmaya veya kötü amaçlı PHP dosyaları yüklemeye çalışır.
Yaygın bir saldırı vektörü, yeni yönetim hesapları oluşturmak için wp_insert_user işlevini kullanarak saldırganlara tam site kontrolü sağlar.
| Bağlanmak | Detaylar |
|---|---|
| Güvenlik Açığı Adı | Sneeiarticlespaginationcallback’te Kimliği Doğrulanmamış Uzaktan Kod Yürütme |
| CVE Kimliği | CVE-2025-6389 |
| CVSS Puanı | 9.8 (Kritik) |
| CVSS Önem Derecesi | Kritik |
| Etkilenen Yazılım | Sneeit Çerçevesi |
| Etkilenen Sürümler | 8.3 ve öncesi |
| Yamalı Sürüm | 8.4 |
| Güvenlik Açığı Türü | Uzaktan Kod Yürütme (RCE) |
| Kimlik Doğrulaması Gerekli | Hayır (Kimlik Doğrulanmamış) |
| Keşif Tarihi | 10 Haziran 2025 |
| Satıcı Yaması Yayınlandı | 5 Ağustos 2025 |
| Kamuya Açıklama Tarihi | 24 Kasım 2025 |
| Aktif Sömürü Başladı | 24 Kasım 2025 |
| Tahmini Kurulumlar | 1.700+ aktif kurulum |
| Etkilenen Dağıtımlar | WordPress siteleri ve premium temalar |
| Güvenlik Açığı Araştırmacısı | Ton |
| Ödül Tutarı | 537,00$ |
| Açıklardan Yararlanma Girişimleri Engellendi | 131.000+ (rapor tarihi itibariyle) |
| Ana neden | Sneeiarticlespaginationcallback işlevinde yetersiz giriş doğrulama; Kullanıcı girişi kısıtlama olmadan call_user_func’tan geçti |
| Saldırı Vektörü | AJAX’ın wp-admin/admin-ajax.php uç noktasına istekleri |
| Darbe | Eksiksiz site güvenliği, yetkisiz yönetici hesabı oluşturma, arka kapı kurulumu, web kabuğu dağıtımı |
| İlişkili Kötü Amaçlı Yazılım | xL.php, Canonical.php, upsf.php, tijtewmg.php |
| İlişkili Alan Adı | racoonlab.top |
| Kelime Çiti Koruması | Premium/Care/Response kullanıcıları 23 Haziran 2025’ten beri korunmaktadır; Ücretsiz kullanıcılar 23 Temmuz 2025’ten beri korunuyor |
| Uzlaşma Göstergeleri | Yeni eklenen yönetici hesapları, kötü amaçlı PHP dosyaları, finderdata.txt, goodfinderdata.txt, değiştirilmiş .htaccess dosyaları |
| En Çok Saldıran IP’ler | 185.125.50.59 (74.000+ engellenen istek), 182.8.226.51 (24.200+ engellenen istek), 89.187.175.80 (4.600+ engellenen istek) |
| Tavsiye | Derhal 8.4 veya daha yeni bir sürüme güncelleyin |
Alternatif yöntemler arasında xL.php, Canonical.php ve tijtewmg.php gibi adlara sahip kötü amaçlı PHP dosyalarının yüklenmesi yer alır.
Bu dosyalar genellikle dizin tarama, dosya yönetimi, zip çıkarma yetenekleri ve izin değiştirme araçları dahil olmak üzere karmaşık işlevler içerir.
İlgili kötü amaçlı yazılım örnekleri, saldırganın kontrol ettiği racoonlab.top etki alanından ek kabuklar indiren upsf.php’yi içerir.
Bu kabuklar, Apache sunucularındaki yükleme dizini kısıtlamalarını atlayan kötü amaçlı .htaccess dosyalarının oluşturulmasını kolaylaştırarak daha fazla kötü amaçlı yazılım dağıtımına olanak tanır.
Web sitesi sahipleri, bu kritik güvenlik açığını gidermek ve arka kapı kurulumu ve veri hırsızlığı yoluyla sitenin tamamının ele geçirilmesini önlemek için derhal Sneeit Framework sürüm 8.4 veya sonraki bir sürüme güncelleme yapmalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
