Il plugin Sneeit Framework è un’estensione per WordPress, il sistema di gestione dei contenuti (CMS) più utilizzato al mondo. Sebbene ampli le funzionalità di WordPress, una vulnerabilità critica consente che venga sfruttato per compromettere completamente il sistema.
Il profilo di rischio di questa vulnerabilità è Critico. Consente l’Esecuzione di Codice Remoto (RCE) Non Autenticata, il che significa che un attaccante non necessita di credenziali né di accesso preventivo per prendere il controllo completo del server web. Si tratta della classe di vulnerabilità più grave per un’applicazione web.
L’intelligence sulle minacce conferma che questa vulnerabilità è attivamente sfruttata in ambiente reale. Non si tratta di una minaccia teorica; gli aggressori stanno attivamente effettuando scansioni e compromettendo siti vulnerabili. Qualsiasi istanza WordPress esposta su internet che esegue una versione vulnerabile del plugin Sneeit Framework deve essere considerata un obiettivo immediato e di alta priorità per l’applicazione di una correzione. La facilità di sfruttamento la rende adatta ad attacchi diffusi e automatizzati.
| Sneeit Framework |
| 2025-12-05 00:17:02 |
Riassunto tecnico
La causa principale di questa vulnerabilità è classificata come CWE-94: Improper Control of Generation of Code (‘Code Injection’). È presente nella funzione sneeit_articles_pagination_callback(), progettata per gestire richieste AJAX di paginazione degli articoli. La funzione riceve un input controllato dall’utente e lo passa direttamente alla funzione PHP sensibile call_user_func() senza un’adeguata sanitizzazione o validazione.
La catena d’attacco è la seguente:
- Un attaccante remoto non autenticato invia una richiesta HTTP appositamente realizzata al punto di accesso AJAX del sito WordPress vulnerabile.
- La richiesta contiene parametri che, una volta elaborati dal plugin Sneeit Framework, vengono passati alla funzione vulnerabile
sneeit_articles_pagination_callback(). - L’attaccante specifica una funzione PHP pericolosa (es.
system,exec) e i relativi argomenti all’interno di questi parametri. - La funzione
call_user_func()esegue la funzione specificata dall’attaccante con i relativi argomenti, provocando l’esecuzione arbitraria di codice con i privilegi del processo del server web (es.www-data).
// Rappresentazione concettuale della logica vulnerabile
function sneeit_articles_pagination_callback() {
// L'attaccante controlla i valori di 'callback_func' e 'callback_arg'
$user_function = $_POST['callback_func'];
$user_argument = $_POST['callback_arg'];
// VULNERABILE: Nessuna validazione viene eseguita prima della chiamata alla funzione
// Un attaccante può impostare $user_function su 'system' e $user_argument su 'id'
call_user_func($user_function, $user_argument);
}
Un attaccante può sfruttare ciò per installare backdoor, esfiltrare l’intero database del sito, creare account amministratore illegittimi o utilizzare il server compromesso per attaccare altri sistemi.
Versioni vulnerabili: Sneeit Framework versioni 8.3 e precedenti.
Versioni con correzione: È stata rilasciata una patch. Tutti gli utenti devono aggiornare alla versione più recente disponibile.
Raccomandazioni
-
Applicare la patch immediatamente: Aggiornare il plugin Sneeit Framework alla versione più recente disponibile, che risolve questa vulnerabilità. Se il plugin non è essenziale, l’approccio più sicuro consiste nel disabilitarlo ed eliminarlo completamente.
-
Mitigazioni: Se non è possibile effettuare l’aggiornamento o la rimozione immediata, implementare una regola di Web Application Firewall (WAF) per bloccare le richieste agli endpoint AJAX di WordPress che contengano nomi di funzioni sospette (es.
system,passthru,shell_exec,exec) nel corpo della richiesta. Questa deve essere considerata una misura temporanea. -
Caccia alle minacce e monitoraggio:
- Analizzare attentamente i log di accesso del server web (es. Apache, Nginx) per richieste POST a
wp-admin/admin-ajax.php. Cercare corpi delle richieste che contengano parametri con valori comesystem,execo altre funzioni di esecuzione comandi shell. - Utilizzare sistemi di monitoraggio dell’integrità dei file per rilevare la creazione di nuovi file imprevisti, in particolare file PHP o webshell nelle directory WordPress (
wp-content/uploads,wp-includes). - Monitorare la creazione di nuovi account amministratori non autorizzati all’interno del pannello di controllo di WordPress.
- Analizzare attentamente i log di accesso del server web (es. Apache, Nginx) per richieste POST a
-
Risposta agli incidenti: Se si sospetta un compromesso, mettere immediatamente offline il sito servendo una pagina statica di manutenzione. Isolare il server dalla rete per prevenire ulteriori attività malevole. Avviare un’analisi forense, concentrandosi sulla ricerca di webshell, analisi dei log web e del database, e identificazione di account utente non autorizzati. Ripristinare il sito da un backup affidabile creato prima della data sospetta dell’attacco.
-
Difesa in profondità: Garantire che il processo del server web venga eseguito con il minimo privilegio necessario. Effettuare regolarmente backup di tutti i file del sito e del database in una posizione remota e testare il processo di ripristino. Applicare password sicure e uniche e l’autenticazione a più fattori per tutti gli account amministrativi di WordPress.