31. Oktober 2025
Wordfence warnt vor einer schwerwiegenden Sicherheitslücke im WordPress-Plugin WP Freeio, das im Premium-Theme Freeio mit über 1.700 Verkäufen enthalten ist. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich bei der Registrierung durch Manipulation der Benutzerrolle Administratorrechte zu verschaffen.
Laut Wordfence wurde die Sicherheitslücke am 25. September 2025 gemeldet. Der Entwickler veröffentlichte am 9. Oktober 2025 eine gepatchte Version. Bereits einen Tag später, am 10. Oktober 2025, registrierte Wordfence erste Angriffe über die Wordfence Intelligence-Datenbank. Seitdem hat die Wordfence-Firewall mehr als 33.200 Exploit-Versuche abgewehrt.
Da die Schwachstelle derzeit aktiv ausgenutzt wird, empfiehlt Wordfence allen Nutzern dringend, auf die aktuelle Version 1.2.22 von WP Freeio zu aktualisieren.
WP Freeio <= 1.2.21 – Nicht authentifizierte Rechteausweitung
Das WP Freeio-Plugin für WordPress ist in allen Versionen bis einschließlich 1.2.21 anfällig für Privilegieneskalation. Dies liegt daran, dass die Funktion process_register() nicht einschränkt, mit welchen Benutzerrollen sich ein Benutzer registrieren kann. Dadurch ist es nicht authentifizierten Angreifern möglich, bei der Registrierung die Rolle „Administrator” anzugeben und Administratorzugriff auf die Website zu erhalten.
CVE-ID: CVE-2025-11533
Affected Versions: <= 1.2.21
Patched Version: 1.2.22
Eine Code-Analyse zeigt, dass das Plugin die Methode process_register() der Klasse WP_Freeio_User zur Verarbeitung von Registrierungen nutzt. Diese Funktion ist unsicher implementiert: Nicht authentifizierte Angreifer können die Benutzerrolle bei der Registrierung frei festlegen und sich so selbst die Administratorrolle zuweisen.
Wie bei jeder Schwachstelle zur Ausweitung von Rechten kann dies zur vollständigen Kompromittierung einer Website führen. Erlangt ein Angreifer Administratorrechte, kann er Plugin- und Theme-Dateien hochladen — etwa bösartige ZIP-Dateien mit Hintertüren — sowie Beiträge und Seiten verändern, Besucher auf andere schädliche Seiten umleiten oder Spam einfügen.
Ein genauerer Blick auf die Angriffsdaten
Die folgenden IP-Adressen gehören zu den aktuell aktivsten Adressen, die Exploit-Versuche gegen die Registrierungsfunktion des WP Freeio-Plugins unternommen haben:
-
35.178.249.28 — Über 1500 blockierte Anfragen.
-
35.178.250.18 — Über 1400 blockierte Anfragen.
-
13.239.253.194 — Über 1300 blockierte Anfragen.
-
3.25.204.16 — Über 1300 blockierte Anfragen.
-
18.220.143.136 — Über 1300 blockierte Anfragen.
-
13.40.54.54 — Über 1200 blockierte Anfragen.
-
35.177.84.254 — Über 1200 blockierte Anfragen.
-
3.148.213.82 — Über 1200 blockierte Anfragen.
-
3.8.127.16 — Über 1200 blockierte Anfragen.
-
18.118.154.234 — Über 1200 blockierte Anfragen.
Indikatoren für eine Kompromittierung
Ein deutliches Anzeichen für eine Infektion ist das Vorhandensein eines neu angelegten, bösartigen Administratorkontos auf der Website.
Zudem wird empfohlen, die Serverprotokolle auf Anfragen von den folgenden IP-Adressen zu überprüfen:
35.178.249.28
35.178.250.18
13.239.253.194
3.25.204.16
18.220.143.136
13.40.54.54
35.177.84.254
3.148.213.82
3.8.127.16
18.118.154.234
Das Fehlen entsprechender Einträge in den Protokollen bedeutet jedoch keine Garantie, dass die Website nicht kompromittiert wurde. Bei auffälligen Aktivitäten oder unbekannten Benutzerkonten sollte eine umfassende Sicherheitsüberprüfung durchgeführt werden – insbesondere, wenn eine anfällige Version des Plugins im Einsatz war.
„Heute berichten wir über Angriffsdaten zu einer kritischen Sicherheitslücke im WordPress‑Plugin WP Freeio. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, bei der Registrierung die Benutzerrolle anzugeben und sich so Administratorrechte zu verschaffen. Nach unseren Bedrohungsinformationen dürften Angreifer bereits am 10. Oktober 2025 mit ersten Ausnutzungsversuchen begonnen haben; die massenhafte Ausnutzung setzte demnach am 21. Oktober 2025 ein. Die Wordfence‑Firewall hat seitdem mehr als 33.200 Exploit‑Versuche abgewehrt, die auf diese Schwachstelle zielten.“ – Wordfence
Fachartikel
DDoS-Attacken 2025: Rekordangriff mit 31,4 Tbit/s und 121% mehr Angriffe
SonicWall-VPN-Einbruch: Angreifer deaktivieren EDR über Kernel-Ebene mit widerrufenen Treibern
OpenClaw-Skills als neuer Malware-Verteilweg: Erkenntnisse von VirusTotal
ShinyHunters: Voice-Phishing-Kampagne zielt auf Cloud-Plattformen ab
ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl
Studien
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Whitepaper
IT-Budgets 2026 im Fokus: Wie Unternehmen 27 % Cloud-Kosten einsparen können
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
