WordPress-sites aangevallen via kritieke kwetsbaarheid in plug-in Freeio

In dit artikel:

Beveiligingsbedrijf Wordfence waarschuwt dat WordPress-sites doelwit zijn van aanvallen via een kritieke kwetsbaarheid in de betaalde plug‑in Freeio, een marktplaatsplugin voor freelancers die meer dan 1.700 keer is aangeschaft. De fout, geregistreerd als CVE-2025-11533, zit in de registratiefunctie: een niet-geauthenticeerde aanvaller kan bij het aanmaken van een account zelf een gebruikersrol kiezen en zich zodoende als administrator registreren. De kwetsbaarheid kreeg een CVSS-score van 9,8. De ontwikkelaars brachten op 9 oktober een update uit; Wordfence maakte het lek op 10 oktober openbaar en zag meteen dezelfde dag al aanvallen. Omdat Freeio een commerciële plug‑in is, is onduidelijk hoeveel sites nog kwetsbaar zijn. Beheerders wordt dringend aangeraden direct te updaten naar de nieuwste versie en te controleren op ongeautoriseerde administratoraccounts, omdat een succesvolle overname kan leiden tot volledige sitecontrole, datadiefstal of verspreiding van malware.