Sneeit Framework 远程代码执行漏洞(CVE-2025-6389)

北京赛克艾威科技有限公司 2025-11-25


  • 漏洞编号:CVE-2025-6389
  • 漏洞等级:严重
  • 漏洞标签:POC公开、在野利用、关键漏洞、影响万级
  • 发布时间:2025-11-25

漏洞描述

Sneeit Framework是一款专为WordPress开发的主题框架插件,主要用于构建响应式杂志类网站,提供文章分页、主题选项管理等功能模块。该插件被广泛应用于各类新闻门户和内容管理系统中,帮助开发者快速搭建专业的新闻杂志网站,支持丰富的主题定制选项和多种内容展示布局。该漏洞影响8.3及之前所有版本。由于sneeit\_articles\_pagination\_callback\(\)函数未对用户输入参数进行充分验证和过滤,直接将用户提供的回调函数名称传递给call\_user\_func\(\)执行,导致攻击者可通过构造恶意请求执行任意PHP代码。未经身份验证的远程攻击者能够利用此漏洞在服务器上执行任意命令,进而完全控制Web服务器并创建后门或管理员账户。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/429978