- WordFenceがSneeit Frameworkプラグインにおける重大なRCEの脆弱性(CVE-2025-6389)を公開、影響範囲はバージョン8.3以下
- 悪用されると、攻撃者は管理者アカウントを作成し、悪意あるプラグインをインストールし、WordPressサイトを乗っ取ることが可能
- ユーザーにはv8.4へのアップデート、怪しい管理者アカウント、不審なPHPファイル、悪意あるAJAXアクティビティの監視が推奨されている
WordFenceのセキュリティ研究者は、人気プラグインに存在する重大度の高い脆弱性について警告している。この脆弱性により、脅威アクターはWordPressサイト上で自分自身を管理者として追加できてしまう。
先週公開されたセキュリティアドバイザリの中で、WordFenceはSneeit Frameworkにリモートコード実行(RCE)のバグを発見したと述べた。Sneeit Frameworkは、WordPress管理者がテーマオプション、レイアウト、カスタム機能などを管理するために使用するバックエンドツールキットだ。このバグはCVE-2025-6389として追跡されており、重大度スコアは9.8/10(クリティカル)と評価され、プラグインの8.3以前のすべてのバージョンに影響を与える。
2025年8月初旬にリリースされたバージョン8.4は影響を受けない。The Hacker Newsによると、このプラグインは現在1,700件以上のアクティブインストールがあるという。
安全を守る方法
この脆弱性の仕組みについて説明する中で、WordFenceは、悪意あるアクターが任意のPHP関数を呼び出し、それに新しい管理者ユーザーを作成させることができると述べている。攻撃者はそのアカウントを使って、標的サイトを完全に掌握できる。その後、悪意あるプラグインを容易にインストールしたり、データスクレイパーを追加したり、被害者を他サイトへリダイレクトしたり、フィッシング用ランディングページを設置したりすることが可能になる。
犯罪者は、この欠陥が公に発表された直後から悪用を開始したと報告されている。初日だけで、WordFenceは13万1,000件以上の攻撃をブロックし、現在でも1日あたりの攻撃件数は約1万5,000件で推移している。
この脆弱性から身を守る最善の方法は、プラグインをバージョン8.4にアップデートすることだ。ユーザーには、WordPress本体だけでなく、他のすべてのプラグインやテーマも常に最新の状態に保つよう推奨されている。さらに、使用していない要素はすべてプラットフォームから削除すべきだ。
また、ウェブ管理者が注意すべき侵害の兆候も存在する。たとえば、脆弱なAJAXコールバックを通じて作成された、新たな不正なWordPress管理者アカウントの出現などだ。
もう一つの危険信号は、サーバーにアップロードされた悪意あるPHPファイルの存在である。xL.php、Canonical.php、.a.php、simple.php、up_sf.phpといった名前のウェブシェルや、危険なファイルタイプの実行を許可するよう設計された不審な.htaccessファイルなどが含まれる。
侵害されたサイトには、攻撃者のシェル検出ツールによって生成されたfinderdata.txtやgoodfinderdata.txtといったファイルが含まれている可能性もある。既知の攻撃元IP(185.125.50.59、182.8.226.51、89.187.175.80など)からのAJAXリクエストが成功していることを示すログファイルや、レポート内に記載されている他のIPも、この脆弱性を利用してサイトへアクセスされた強力な証拠となる。
