2025年11月24日、WordPress向けプラグイン「Sneeit Framework」に、外部からの未認証アクセスでリモートコード実行(RCE)が可能になる深刻な脆弱性(CVE-2025-6389)が報告されています。CVSS 3.1のスコアは 9.8(Critical) と最高レベルで評価されており、影響範囲と悪用難易度の低さから、放置は非常に危険な状態です。
概要
影響を受けるのは、Sneeit Framework バージョン 8.3 以前 を利用しているサイトです。すでにインターネット上ではこの脆弱性を狙ったスキャンと攻撃が観測されており、セキュリティベンダの統計では、直近24時間だけで数千件規模の攻撃ブロックが確認されています。
開発元は、脆弱性を修正した バージョン 8.4 を公開しており、利用サイトは早急な更新が求められます。
どのサイトが影響を受けるのか
Sneeit Framework は、単体プラグインとしてだけでなく、ニュース系・マガジン系テーマなど、複数の有料テーマの内部コンポーネントとして広く利用されているフレームワークです。
代表例として、販売数1,000件超の人気テーマ「FlatNews」などがこのフレームワークに依存しており、以下のようなサイトがまとめて影響を受ける可能性があります。
-
Sneeit Framework プラグイン(バージョン 8.3 以前)を直接インストールしているサイト
-
上記フレームワークを同梱したテーマ(FlatNews など)を利用しているサイト
-
制作会社・外部ベンダが構築したニュース/メディア系WordPressサイト
特に、テーマ側から暗黙的に Sneeit Framework が導入されているケースでは、管理者本人がプラグイン名を認識していない場合もあります。
自社サイト・クライアントサイトについて、「sneeit-framework」というプラグインが入っていないか を必ず確認する必要があります。
想定される被害シナリオ
この脆弱性は「未認証RCE」であるため、攻撃者から見ると次のようなことが可能になります。
-
サイト上に Webシェル(バックドア)を設置
-
WordPress 管理者権限ユーザーを新規作成
-
テーマファイルやプラグインファイルの改ざん(広告埋め込み/マルウェア配布サイトへのリダイレクトなど)
-
wp-config.php などから データベース接続情報を窃取
-
同一サーバ上の他サイトやホスティング環境への横展開(ピボット)
「管理者アカウントが乗っ取られた」のとほぼ同等か、それ以上の自由度で操作可能なため、WordPress 管理者にとっては最も重いレベルの脆弱性と言えます。
一度バックドアを設置されると、プラグイン更新だけでは完全な復旧にならないケースも多く、ファイルシステムやDBの詳細調査が必要になります。








