深刻なWordPressプラグインの脆弱性が活発な攻撃に
人気のWordPressプラグインであるSneeit Frameworkに深刻なリモートコード実行(RCE)の脆弱性が発見され、その公開からわずか数時間で数千件もの攻撃が観測されています。WordPressサイトの管理者は、直ちにバージョン8.4以降へアップデートすることが強く推奨されており、これを怠るとサイト全体が侵害される危険性があります。
脆弱性の詳細:CVE-2025-6389
この脆弱性(CVE-2025-6389)は、CVSSスコア9.8という極めて高い評価を受けており、バージョン8.3以前のSneeit Frameworkプラグインに影響します。原因は、プラグイン内のsneeit_articles_pagination_callback()関数が、ユーザーから提供された入力を適切な検証や制限なしにPHPのcall_user_func()関数に直接渡してしまう設計上の欠陥にあります。これにより、認証されていない攻撃者が任意のPHP関数を任意のパラメータで実行できる状態となり、結果としてターゲットサーバー上で任意のコードを実行することが可能になります。
このプラグインは、公式リポジトリだけでなく、複数のプレミアムWordPressテーマにもバンドルされているため、その潜在的な影響範囲は非常に広範です。
攻撃の状況と手法
脆弱性が一般に公開されてから、攻撃者はすぐにその悪用を開始しました。Wordfenceの報告によると、すでに131,000件以上のエクスプロイト試行がブロックされており、特に11月26日と27日には攻撃量が劇的に急増しています。攻撃は多数のIPアドレスから行われており、中でも「185.125.50.59」という単一のIPアドレスから74,000件を超えるブロックされたリクエストが確認されています。
観測された攻撃手法は多岐にわたり、脅威の深刻さを示しています。
wp_insert_user()関数を使用して新しい管理者ユーザーアカウントを作成し、WordPress管理パネルへの永続的なアクセスを獲得するケース。- システムコマンドを実行して悪意のあるPHPファイルをダウンロード・実行し、バックドアを設置して、脆弱性がパッチ適用された後もアクセスを維持するケース。
phpinfo()関数を使用してターゲットサーバーのPHP設定に関する情報を収集し、より標的を絞った攻撃に備える偵察行為。
緊急の対策と推奨事項
サイト管理者は、Sneeit Frameworkプラグインをバージョン8.4以降に直ちにアップデートすることが最優先事項です。活発な攻撃が進行しているため、アップデートの遅延はサイトの完全な侵害リスクを大幅に高めます。攻撃者はバックドアの注入、機密データの窃盗、ウェブサイトの改ざん、またはマルウェア配布のためのサイト乗っ取りを行う可能性があります。
セキュリティプラグインを導入していないサイトオーナーは、WordfenceのようなWebアプリケーションファイアウォール(WAF)の導入を検討することも推奨されます。Wordfenceのプレミアム、ケア、レスポンスの各顧客は、脆弱性が一般に公開されるはるか前の6月23日には既に保護ルールを受け取っており、無料ユーザーも7月23日には保護されていました。