Die als CVE-2025-5947 erfasste Sicherheitslücke erlaubt es Angreifern, die Authentifizierung und den Anmeldebildschirm zu umgehen. Sicherheitsexperten haben der Schwachstelle eine sehr hohe Schweregradbewertung mit 9,8 von 10 Punkten gegeben.
Das Problem liegt darin, wie das Plugin „Service Finder Bookings“ eine Funktion zum Wechseln von Konten handhabt. Das können Angreifer ausnutzen, indem sie eine Anfrage an die Website senden und dabei fälschlicherweise ein Cookie anhängen, das sie als Administrator der Website identifiziert. Das Plugin überprüft nicht ordnungsgemäß, ob diese Identifizierungsdaten echt oder gefälscht sind.
Diese Nachlässigkeit ermöglicht es Angreifern (auch solchen, die kein eigenes Konto auf der Website haben), das System dazu zu bringen, sie als beliebigen Benutzer anzumelden, einschließlich des Administrators der Website. Sobald sie als Administrator angemeldet sind, können sie schädlichen Code einschleusen, Besucher auf gefälschte Websites umleiten oder die Website sogar zum Hosten von Schadsoftware nutzen.
Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher Foxyyy und an das Wordfence Bug Bounty Program gemeldet, das anschließend den Meldeprozess unterstützte und Details des Angriffs auf seiner Website veröffentlichte. Laut der Sicherheitsforscher betrifft das Problem alle Versionen des Themes bis einschließlich Version 6.0. Die Entwickler des Themes veröffentlichten am 17. Juli 2025 umgehend einen Fix in Version 6.1. Später stellte sich jedoch heraus, dass Angreifer trotz des verfügbaren Patches fast sofort, nämlich ab dem 1. August 2025, begannen, die Schwachstelle aktiv auszunutzen. Mittlerweile wurden über 13.800 Versuche entdeckt.
Website-Administratoren sollten daher umgehend das Service Finder-Theme und das Plugin auf Version 6.1 oder höher aktualisieren. Das gilt auch für diejenigen, die Sicherheitssoftware wie die Wordfence-Firewall einsetzen, auch wenn diese viele dieser Angriffsversuche blockiert hat. Das liegt daran, dass die Firewall die bösartigen, gefälschten Cookie-Daten, die vom Angreifer verwendet werden, erkennt und die Anfrage sofort blockiert, bevor sie den anfälligen Teil der Website erreichen kann. Trotzdem könnte es Angreifern gelingen, diese Schutzmaßnahmen zu umgehen. Ein zeitnahes Update sollte daher bei allen Nutzern auf die Agenda gesetzt werden.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
