WordPress-sites aangevallen via kritiek lek in plug-ins van Case-Themes

In dit artikel:

Beveiligingsonderzoeker Wordfence waarschuwt dat aanvallers actief gebruikmaken van een kritisch lek (CVE-2025-5821) in meerdere plug-ins van ontwikkelaar Case-Themes om WordPress-sites over te nemen. De fout zit in het onderdeel dat inloggen via sociale media regelt: bij registratie wordt een nonce aangemaakt die door een aanvaller kan worden misbruikt in combinatie met het e-mailadres van een andere gebruiker. Met een tijdelijk aangemaakt account en kennis van dat e-mailadres kan een kwaadwillende zich vervolgens voordoen als die gebruiker — ook als het een beheerder betreft — en zo volledige controle over de site verkrijgen.

Een patch voor het probleem is sinds 13 augustus beschikbaar; volgens Wordfence vinden aanvallen sinds 23 augustus plaats en sinds 26 augustus wordt grootschalig misbruik geconstateerd. Meer dan 12.000 WordPress-sites gebruiken de betaalde Case-Themes-plug-ins, waardoor het risico wijdverspreid is. De kwetsbaarheid kreeg een impactscore van 9,8 op 10. Het is onduidelijk hoeveel sites de update al hebben geïnstalleerd.

Aanbevolen acties: direct alle Case-Themes-plug-ins bijwerken naar de gepatchte versie, logs en gebruikersaccounts controleren op verdachte activiteiten, wachtwoorden en API-sleutels resetten, eventuele back-ups herstellen en waar mogelijk een webapplicatie-firewall inzetten. Sites die niet snel kunnen updaten, moeten tijdelijk sociale-loginfunctionaliteit uitschakelen en een forensische controle overwegen.