WordPress用Sneeit Frameworkプラグインに、CVE-2025-6389(CVSS 9.8)のリモートコード実行脆弱性が存在し、バージョン8.3以前が影響を受けている。パッチは2025年8月5日リリースのバージョン8.4で提供されており、同プラグインは1,700以上のアクティブインストールがある。
sneeit_articles_pagination_callback()がユーザー入力をcall_user_func()に渡す実装により、wp_insert_user()など任意のPHP関数の呼び出しが可能で、未認証の攻撃者が管理者ユーザー作成やバックドア設置を行える。
Wordfenceは、2025年11月24日の公開日に悪用が始まり、131,000件以上の攻撃試行をブロックし、そのうち15,381件が直近24時間のものだとしている。攻撃は「/wp-admin/admin-ajax.php」への細工されたHTTPリクエストを用い、「arudikadis」ユーザー作成や「tijtewmg.php」アップロードが確認され、特定のIPアドレス群から発信されている。
xL.php、Canonical.php、.a.php、simple.phpなどのPHPファイルや、「racoonlab[.]top」からの.htaccess取得も観測されている。別件として、VulnCheckはICTBroadcastのCVE-2025-2611(CVSS 9.3)を悪用し、「frost」バイナリを展開する攻撃を報告している。
frostは15件のCVEに対する14のエクスプロイトを含み、CVE-2025-1610の悪用条件として特定のSet-Cookieレスポンスを確認する挙動を持ち、攻撃はIPアドレス87.121.84[.]52から行われている。
From: 
Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks
【編集部解説】
今回のSneeit Framework脆弱性が注目される理由は、その悪用の容易さにあります。call_user_func()という関数に未検証のユーザー入力を渡す実装は、PHPセキュリティにおける典型的なアンチパターンです。認証なしで任意のPHP関数を呼び出せるため、攻撃者はphpinfo()で環境情報を収集後、wp_insert_user()で管理者を作成し、サイトを完全に掌握できます。
攻撃は11月24日の脆弱性公開と同時に始まっており、攻撃者が公開情報を即座に悪用した形です。パッチ自体は8月5日にリリースされていましたが、脆弱性の詳細が非公開だったため、多くのサイト管理者が緊急性を認識できず更新が遅れたと考えられます。
特に厄介なのは、このプラグインがFlatNewsなどのテーマに同梱されているケースです。サイト管理者自身がSneeit Frameworkの存在を認識していない場合、脆弱性情報を見ても「自分には関係ない」と判断してしまう可能性があります。プラグイン一覧で「sneeit-framework」を確認する作業が不可欠です。
一方、Frostボットネットは従来のマルウェアと異なる洗練された挙動を示しています。標的システムを攻撃前に指紋認証し、特定のレスポンス(Set-Cookieヘッダーの内容など)を確認してから脆弱性を悪用する仕組みです。これにより、ハニーポットなどのセキュリティ監視システムを回避し、効率的に実システムのみを感染させる戦略をとっています。
影響範囲は現時点で限定的ですが、攻撃者が公開していない追加のエクスプロイトを保有している可能性が指摘されており、今後の展開に警戒が必要です。WordPressエコシステム全体において、プラグインの依存関係と更新状況を可視化する仕組みの重要性が、改めて浮き彫りになった事案といえるでしょう。
【用語解説】
CVE(Common Vulnerabilities and Exposures)
共通脆弱性識別子。セキュリティ脆弱性に付与される一意の識別番号で、CVE-2025-6389のように年と番号で構成される。世界中のセキュリティ研究者や組織が同じ脆弱性について議論する際の共通言語として機能する。
CVSS(Common Vulnerability Scoring System)
脆弱性の深刻度を0.0から10.0のスコアで評価する標準的な指標。9.0以上は「Critical(緊急)」に分類され、即座の対応が求められる。今回のCVE-2025-6389は9.8という極めて高いスコアである。
RCE(Remote Code Execution)
リモートコード実行の略。攻撃者がネットワーク経由で標的システム上で任意のコードを実行できる脆弱性。サーバーへの物理アクセスなしに完全な制御を奪えるため、最も危険な脆弱性タイプの一つとされる。
call_user_func()
PHPプログラミング言語における関数で、文字列として渡された関数名を動的に実行する機能を持つ。便利な反面、ユーザー入力を適切に検証せずに使用すると、攻撃者が任意の関数を呼び出せる重大な脆弱性となる。
バックドア
正規の認証手続きを迂回してシステムにアクセスするための隠し通路。攻撃者が初期侵入後に設置し、発見されにくい方法で継続的なアクセスを確保するために使用される。
【参考リンク】
Wordfence(外部)
WordPressサイト専門のセキュリティプラグインおよびサービス。700万以上のサイトで利用されており、今回の脆弱性の詳細レポートを公開した。
VulnCheck(外部)
脆弱性インテリジェンスプラットフォーム提供企業。Frost DDoSボットネットの挙動分析を実施し、選択的攻撃手法を報告した。
National Vulnerability Database (NVD)(外部)
米国国立標準技術研究所が運営する脆弱性データベース。CVE情報の詳細な技術分析やCVSS評価を包括的に提供している。
WordPress Plugin Directory(外部)
WordPress公式プラグインリポジトリ。6万以上のプラグインが登録され、バージョン履歴や更新情報が確認できる。
【参考記事】
Attackers Actively Exploiting Critical Vulnerability in Sneeit Framework Plugin(外部)
Wordfence公式ブログによる技術分析。131,000件以上の攻撃試行のブロック実績や攻撃元IPアドレスを詳述している。
Frost Checks First: Selective Exploitation(外部)
VulnCheckによるFrostボットネット分析。14のエクスプロイトを含むバイナリの動作メカニズムと選択的攻撃手法を技術解説している。
CVE-2025-6389 Detail(外部)
NIST公式脆弱性データベースのエントリ。CVSS 9.8のスコア根拠と影響範囲の詳細な分類を提供している。
Critical WordPress Plugin Vulnerability: Sneeit Framework Under Active Exploitation(外部)
SiteGuardingによる対策ガイド。バージョン8.4へのアップデート手順や感染確認のためのスキャン方法を解説している。
【編集部後記】
WordPressサイトを運営されている方は、一度プラグイン一覧を開いて「sneeit-framework」の有無を確認してみませんか。テーマに同梱されているケースもあり、意識していなくても導入されている可能性があります。
今回の事案は、便利さとセキュリティのトレードオフを改めて考えさせられる機会かもしれません。みなさんは、プラグインの更新チェックをどのように管理されていますか。自動更新に任せるべきか、手動で慎重に確認すべきか。日々の運用の中で感じている課題があれば、ぜひ教えていただけると嬉しいです。
