WordPress-sites aangevallen via kritiek lek in Service Finder Bookings plug-in

In dit artikel:

Een kritieke kwetsbaarheid in de Service Finder Bookings‑plug‑in (deel van het betaalde Service Finder Theme) wordt actief misbruikt en kan ongeauthenticeerde aanvallers volledige admin‑toegang tot kwetsbare WordPress‑sites geven (CVE‑2025‑5947). Het theme wordt door ruim 6.000 sites gebruikt voor dienstverleners‑/vacatureachtige directories (bijv. loodgieters, schoonmakers, elektriciens). De kwetsbaarheid zit in een onveilig geïmplementeerde "account switching"‑functie waarmee een aanvaller naar elk gewenst account kan overschakelen. Volgens Wordfence is het probleem op 17 juli in versie 6.1 verholpen; sinds 1 augustus wordt er actief misbruik van gemaakt. De impactscore is zeer hoog (9,8).

Daarnaast waarschuwde Patchstack vorige maand voor een andere kritieke fout in dezelfde plug‑in (CVE‑2025‑23970). Die kwetsbaarheid maakt inloggen als willekeurige gebruiker, inclusief admin, mogelijk en zou aanwezig zijn in versie 6.1 en ouder; hiervoor is volgens Patchstack nog geen beveiligingsupdate beschikbaar. Patchstack raadt aan de plug‑in te verwijderen.

Aanbeveling voor beheerders: controleer of uw site het theme/plug‑in gebruikt, installeer direct beveiligingsupdates wanneer beschikbaar of verwijder de plug‑in, draai een compromise‑scan, herstel indien nodig vanaf schone backups en wijzig admin‑wachtwoorden.