- WordFence reveló un error crítico de RCE (CVE-2025-6389) en el complemento Sneeit Framework, que afecta a las versiones ≤8.3
- El exploit permite a los atacantes crear cuentas de administrador, instalar complementos maliciosos y secuestrar sitios de WordPress.
- Se instó a los usuarios a actualizar a la versión 8.4 para monitorear administradores maliciosos, archivos PHP sospechosos y actividad AJAX maliciosa.
Los investigadores de seguridad de WordFence advirtieron sobre una vulnerabilidad crítica en un complemento popular que permite a los actores de amenazas agregarse como administradores a sitios de WordPress.
En un aviso de seguridad publicado la semana pasada, WordFence dijo que había descubierto una falla de ejecución remota de código (RCE) en Sneeit Framework, un conjunto de herramientas de backend utilizado por los administradores de WordPress para administrar opciones de temas, diseños y características personalizadas. El error sigue siendo CVE-2025-6389, al que se le asignó una puntuación de gravedad de 9,8/10 (crítico) y afecta a todas las versiones del complemento hasta la 8.3 inclusive.
La versión 8.4 lanzada a principios de agosto de 2025 no se ve afectada. Según The Hacker News, el complemento tiene actualmente más de 1700 instalaciones activas.
Cómo mantenerse seguro
Al explicar cómo funciona la vulnerabilidad, WordFence dijo que los actores maliciosos podrían llamar a una función PHP arbitraria y crear un nuevo administrador, que los atacantes podrían usar para tomar el control total del sitio web objetivo. Después de eso, pueden instalar fácilmente complementos maliciosos, agregar raspadores de datos, redirigir a las víctimas a otros sitios, insertar páginas de destino de phishing y más.
Los delincuentes comenzaron a explotar la falla en el momento en que se anunció públicamente. El primer día, WordFence bloqueó más de 131.000 ataques y, aún hoy, el número de ataques diarios ronda los 15.000.
La mejor manera de protegerse de esta vulnerabilidad es actualizar el complemento a la versión 8.4. También se recomienda a los usuarios que mantengan actualizada su plataforma WordPress, así como todos los demás complementos y temas, en todo momento. Además, todos los elementos no utilizados deben eliminarse de la plataforma.
También hay indicadores de compromiso que los webmasters deben tener en cuenta, como la aparición de una nueva cuenta de administrador de WordPress no autorizada creada mediante una llamada AJAX vulnerable.
Otra señal de alerta es la presencia de archivos PHP maliciosos cargados en el servidor, incluidos webshells llamados xL.php, Canonical.php, .a.php, simple.php o up_sf.php, así como archivos .htaccess sospechosos diseñados para ejecutar tipos de archivos peligrosos.
Los sitios comprometidos también pueden contener archivos como finderdata.txt o goodfinderdata.txt, creados por la herramienta shell-finder del atacante. Los archivos de registro que muestran solicitudes AJAX exitosas de IP de ataque conocidas como 185.125.50.59, 182.8.226.51, 89.187.175.80 y otras enumeradas en el informe son otro fuerte indicador de que la vulnerabilidad se utilizó para obtener acceso al sitio.
A través de Noticias de piratas informáticos
El mejor antivirus para cada presupuesto
Siga TechRadar en Google News y agréganos como tu fuente predeterminada para recibir noticias, puntos de vista y opiniones de nuestros expertos en feeds. ¡Asegúrate de presionar el botón Continuar!
Y por supuesto que tú también puedes Siga TechRadar en TikTok para recibir noticias, reseñas, unboxings de videos y recibir actualizaciones periódicas de nuestra parte WhatsApp también
