Thought Leadership
Eine schwere Sicherheitslücke im WordPress-Theme „Service Finder” und dem zugehörigen Plugin „Bookings” wird derzeit aktiv von Angreifern ausgenutzt. Die als CVE-2025-5947 katalogisierte Schwachstelle ermöglicht es Unbefugten, sich ohne gültige Zugangsdaten als Administrator anzumelden und die vollständige Kontrolle über betroffene Websites zu übernehmen.
Kritischer Authentifizierungs-Bypass mit CVSS 9,8
Das Sicherheitsproblem hat vom Common Vulnerability Scoring System (CVSS) eine Bewertung von 9,8 von 10 möglichen Punkten erhalten und gilt damit als kritisch. Die Schwachstelle liegt in der fehlerhaften Implementierung einer Funktion zum Kontowechsel im Plugin „Service Finder Bookings”. Angreifer können die Authentifizierung umgehen, indem sie manipulierte Cookie-Daten an die betroffene Website senden.
Das Plugin versäumt es, die Authentizität dieser Cookies ordnungsgemäß zu überprüfen. Dadurch können Angreifer – selbst ohne eigenes Benutzerkonto – das System dazu bringen, sie als beliebigen Nutzer anzumelden, einschließlich des Website-Administrators. Mit diesen Privilegien ausgestattet, können die Angreifer Schadcode einschleusen, Besucher auf Phishing-Seiten umleiten oder die kompromittierte Website als Ausgangspunkt für weitere Angriffe missbrauchen.
Massenhafte Angriffe seit Anfang August
Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher Foxyyy, der sie über das Wordfence Bug Bounty Program meldete. Die Entwickler reagierten zeitnah und veröffentlichten bereits am 17. Juli 2025 einen Patch in Version 6.1 des Themes. Betroffen sind alle Versionen bis einschließlich 6.0.
Trotz der schnellen Bereitstellung des Updates begannen Cyberkriminelle bereits am 1. August 2025 mit der aktiven Ausnutzung der Schwachstelle. Wordfence hat nach eigenen Angaben mittlerweile über 13.800 Angriffsversuche registriert und blockiert. Die hohe Zahl der Attacken unterstreicht die Dringlichkeit einer zeitnahen Aktualisierung.
Firewall-Schutz bietet keine hundertprozentige Sicherheit
Obwohl Sicherheitslösungen wie die Wordfence-Firewall viele der Angriffsversuche erfolgreich abwehren konnten – die Firewall erkennt die manipulierten Cookie-Daten und blockiert die Anfragen, bevor sie den verwundbaren Code erreichen – besteht weiterhin ein Restrisiko. Experten warnen, dass findige Angreifer möglicherweise Wege finden könnten, auch diese Schutzmaßnahmen zu umgehen.
Sofortiges Update dringend empfohlen
Website-Betreiber, die das Theme „Service Finder” einsetzen, sollten umgehend auf Version 6.1 oder höher aktualisieren. Dies gilt unabhängig davon, ob zusätzliche Sicherheitssoftware im Einsatz ist. Die Aktualisierung kann über das WordPress-Dashboard im Bereich „Design” beziehungsweise „Plugins” durchgeführt werden. Nach dem Update sollten Administratoren ihre Website auf Anzeichen einer möglichen Kompromittierung überprüfen, etwa auf unbekannte Benutzerkonten oder verdächtige Codeänderungen.
(lb/8com)
