Uma falha grave no plugin Sneeit Framework, usado em temas WordPress premium, está sendo explorada ativamente por cibercriminosos para assumir o controle de sites vulneráveis. A vulnerabilidade foi catalogada como CVE-2025-6389 e recebeu pontuação CVSS 9.8, indicando risco crítico. O problema está na função sneeit_articles_pagination_callback(), que utiliza a função call_user_func() sem validar corretamente os dados fornecidos por usuários. Isso permite que atacantes não autenticados injetem e executem comandos PHP arbitrários no servidor onde o site está hospedado.
A falha afeta diretamente a integridade dos sites WordPress que utilizam o plugin. Invasores podem explorar a brecha para criar contas de administrador, modificar arquivos do site, instalar backdoors ou redirecionar visitantes para páginas maliciosas. Estima-se que cerca de 1.700 instalações ativas utilizam o plugin vulnerável, e muitos sites podem estar em risco sem saber, especialmente aqueles que usam temas personalizados com o framework embutido. A exploração da falha foi observada em ataques reais desde sua divulgação pública em 24 de novembro de 2025.
A vulnerabilidade foi corrigida na versão 8.4 do Sneeit Framework, mas muitos sites ainda não aplicaram a atualização, o que tem facilitado ataques automatizados em larga escala. A natureza não autenticada do vetor de ataque aumenta o risco, já que qualquer visitante pode iniciar a exploração sem precisar de credenciais. Os ataques observados até agora incluem instalação de shells remotas, extração de dados e modificação de arquivos principais do WordPress. Em alguns casos, os sites comprometidos foram usados como parte de redes de distribuição de malware.
