Betreiber von Webseiten, die das WordPress-Theme „Service Finder“ und das dazugehörige Plugin „Bookings“ verwenden, sollten ihre Software unverzüglich aktualisieren, da derzeit eine schwerwiegende Sicherheitslücke von Cyberkriminellen ausgenutzt wird. Dieses kritische Problem ermöglicht es Unbefugten, die vollständige Kontrolle über betroffene Websites zu erlangen und sich als Administrator einzuloggen.

Die als CVE-2025-5947 erfasste Sicherheitslücke erlaubt es Angreifern, die Authentifizierung und den Anmeldebildschirm zu umgehen. Sicherheitsexperten haben der Schwachstelle eine sehr hohe Schweregradbewertung mit 9,8 von 10 Punkten gegeben.

Das Problem liegt darin, wie das Plugin „Service Finder Bookings“ eine Funktion zum Wechseln von Konten handhabt. Das können Angreifer ausnutzen, indem sie eine Anfrage an die Website senden und dabei fälschlicherweise ein Cookie anhängen, das sie als Administrator der Website identifiziert. Das Plugin überprüft nicht ordnungsgemäß, ob diese Identifizierungsdaten echt oder gefälscht sind.

Diese Nachlässigkeit ermöglicht es Angreifern (auch solchen, die kein eigenes Konto auf der Website haben), das System dazu zu bringen, sie als beliebigen Benutzer anzumelden, einschließlich des Administrators der Website. Sobald sie als Administrator angemeldet sind, können sie schädlichen Code einschleusen, Besucher auf gefälschte Websites umleiten oder die Website sogar zum Hosten von Schadsoftware nutzen.

Entdeckt wurde die Sicherheitslücke vom Sicherheitsforscher Foxy und an das Wordfence Bug Bounty Program gemeldet, das anschließend den Meldeprozess unterstützte und Details des Angriffs auf seiner Website veröffentlichte. Laut der Sicherheitsforscher betrifft das Problem alle Versionen des Themes bis einschließlich Version 6.0. Die Entwickler des Themes veröffentlichten am 17. Juli 2025 umgehend einen Fix in Version 6.1. Später stellte sich jedoch heraus, dass Angreifer trotz des verfügbaren Patches fast sofort, nämlich ab dem 1. August 2025, begannen, die Schwachstelle aktiv auszunutzen. Mittlerweile wurden über 13.800 Versuche entdeckt.

Website-Administratoren sollten daher umgehend das Service Finder-Theme und das Plugin auf Version 6.1 oder höher aktualisieren. Das gilt auch für diejenigen, die Sicherheitssoftware wie die Wordfence-Firewall einsetzen, auch wenn diese viele dieser Angriffsversuche blockiert hat. Das liegt daran, dass die Firewall die bösartigen, gefälschten Cookie-Daten, die vom Angreifer verwendet werden, erkennt und die Anfrage sofort blockiert, bevor sie den anfälligen Teil der Website erreichen kann. Trotzdem könnte es Angreifern gelingen, diese Schutzmaßnahmen zu umgehen. Ein zeitnahes Update sollte daher bei allen Nutzern auf die Agenda gesetzt werden.