Kritische Lücke im Sneeit Framework: Angreifer führen Schadcode auf WordPress-Sites aus

Angriffswelle auf WordPress-Plugin rollt seit Ende November

Cyberkriminelle nutzen massiv eine kritische Sicherheitslücke im WordPress-Plugin Sneeit Framework aus, um auf betroffenen Websites beliebigen Code zur Ausführung zu bringen. Die Schwachstelle ermöglicht unauthentifizierten Angreifern die vollständige Übernahme von Websites. Sicherheitsexperten haben bereits mehr als 131.000 Angriffsversuche dokumentiert. Das Plugin ist auf schätzungsweise 1.700 aktiven WordPress-Installationen im Einsatz und wird mit verschiedenen Premium-Themes ausgeliefert.

Zeitverlauf der Sicherheitslücke

Die Entdeckung der Schwachstelle erfolgte am 10. Juni 2025 durch Sicherheitsforscher, die den Hersteller umgehend informierten. Erst knapp zwei Monate später, am 5. August 2025, stand eine bereinigte Version zur Verfügung. Die öffentliche Bekanntgabe in der Wordfence Intelligence Vulnerability Database erfolgte am 24. November 2025 – exakt an diesem Tag starteten auch die ersten dokumentierten Exploit-Versuche.

Technische Details der Schwachstelle

Alle Versionen bis einschließlich 8.3 des Sneeit Framework sind von der Sicherheitslücke betroffen. Das Problem liegt in der Funktion sneeit_articles_pagination_callback(), die Eingaben von Nutzern entgegennimmt und diese ohne ausreichende Validierung über call_user_func() weiterverarbeitet.

Konkret nutzt das Plugin die Funktion facebook_ajax_login_callback() innerhalb der Klasse Case_Theme_User_Ajax zur Darstellung der Seitennummerierung. Die dabei verwendete Callback-Funktion wird durch den Parameter „callback“ aus der Nutzereingabe bestimmt, während die Funktionsparameter über „args“ übergeben werden. Da keinerlei Beschränkungen für den Funktionsaufruf implementiert sind, können Angreifer beliebige PHP-Funktionen mit frei wählbaren Parametern ausführen.

Sneeit Framework <= 8.3 – Nicht authentifizierte Remote-Code-Ausführung in sneeit_articles_pagination_callback

Angriffsmuster und Auswirkungen

Die dokumentierten Attacken zeigen unterschiedliche Vorgehensweisen der Angreifer:

Privilegieneskalation: Durch Aufruf der Funktion wp_insert_user() erstellen Cyberkriminelle neue Administrator-Accounts auf den betroffenen Systemen.

Schadcode-Einschleusung: Angreifer laden bösartige PHP-Dateien auf die Webserver hoch, um persistente Backdoors zu installieren.

Vollständige Kompromittierung: Die Kombination aus Webshells und anderen Techniken ermöglicht die komplette Kontrolle über betroffene Websites.

Kompromittierung erkennen

Website-Betreiber sollten ihre Systeme auf folgende Indikatoren überprüfen:

• Neu angelegte Administrator-Konten, die nicht autorisiert wurden
• Verdächtige PHP-Dateien in den Upload-Verzeichnissen
• AJAX-Anfragen in den Server-Logs von bekannten Angreifer-IP-Adressen

Die folgenden IP-Adressen wurden im Zusammenhang mit den Angriffen identifiziert:

• 185.125.50.59
• 182.8.226.51
• 89.187.175.80
• 194.104.147.192
• 196.251.100.39
• 114.10.116.226
• 116.234.108.143

Sicherheitsexperten weisen jedoch darauf hin, dass das Fehlen entsprechender Log-Einträge keine Garantie für die Unversehrtheit einer Website darstellt.

Schutzmaßnahmen und Empfehlungen

Website-Betreiber sollten unverzüglich folgende Maßnahmen ergreifen:

Sofortiges Update: Aktualisierung des Sneeit Framework auf mindestens Version 8.4, die den Fehler behebt.

Firewall-Schutz: Nutzer der Wordfence-Firewall erhielten bereits am 23. Juni 2025 (Premium/Care/Response) beziehungsweise am 23. Juli 2025 (kostenlose Version) entsprechende Schutzregeln.

Sicherheitsüberprüfung: Auch nach erfolgter Absicherung sollten Websites auf mögliche Kompromittierungen untersucht werden.

Die massenhafte Ausnutzung der Schwachstelle begann am 26. November 2025, nur zwei Tage nach der öffentlichen Bekanntgabe. Dies verdeutlicht die Dringlichkeit, mit der Sicherheitsupdates eingespielt werden müssen.

Ursprünglich veröffentlicht von Wordfence

Lesen Sie mehr