31. Oktober 2025
Wordfence warnt vor einer schwerwiegenden Sicherheitslücke im WordPress-Plugin WP Freeio, das im Premium-Theme Freeio mit über 1.700 Verkäufen enthalten ist. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich bei der Registrierung durch Manipulation der Benutzerrolle Administratorrechte zu verschaffen.
Laut Wordfence wurde die Sicherheitslücke am 25. September 2025 gemeldet. Der Entwickler veröffentlichte am 9. Oktober 2025 eine gepatchte Version. Bereits einen Tag später, am 10. Oktober 2025, registrierte Wordfence erste Angriffe über die Wordfence Intelligence-Datenbank. Seitdem hat die Wordfence-Firewall mehr als 33.200 Exploit-Versuche abgewehrt.
Da die Schwachstelle derzeit aktiv ausgenutzt wird, empfiehlt Wordfence allen Nutzern dringend, auf die aktuelle Version 1.2.22 von WP Freeio zu aktualisieren.
WP Freeio <= 1.2.21 – Nicht authentifizierte Rechteausweitung
Das WP Freeio-Plugin für WordPress ist in allen Versionen bis einschließlich 1.2.21 anfällig für Privilegieneskalation. Dies liegt daran, dass die Funktion process_register() nicht einschränkt, mit welchen Benutzerrollen sich ein Benutzer registrieren kann. Dadurch ist es nicht authentifizierten Angreifern möglich, bei der Registrierung die Rolle „Administrator” anzugeben und Administratorzugriff auf die Website zu erhalten.
CVE-ID: CVE-2025-11533
Affected Versions: <= 1.2.21
Patched Version: 1.2.22
Eine Code-Analyse zeigt, dass das Plugin die Methode process_register() der Klasse WP_Freeio_User zur Verarbeitung von Registrierungen nutzt. Diese Funktion ist unsicher implementiert: Nicht authentifizierte Angreifer können die Benutzerrolle bei der Registrierung frei festlegen und sich so selbst die Administratorrolle zuweisen.
Wie bei jeder Schwachstelle zur Ausweitung von Rechten kann dies zur vollständigen Kompromittierung einer Website führen. Erlangt ein Angreifer Administratorrechte, kann er Plugin- und Theme-Dateien hochladen — etwa bösartige ZIP-Dateien mit Hintertüren — sowie Beiträge und Seiten verändern, Besucher auf andere schädliche Seiten umleiten oder Spam einfügen.
Ein genauerer Blick auf die Angriffsdaten
Die folgenden IP-Adressen gehören zu den aktuell aktivsten Adressen, die Exploit-Versuche gegen die Registrierungsfunktion des WP Freeio-Plugins unternommen haben:
-
35.178.249.28 — Über 1500 blockierte Anfragen.
-
35.178.250.18 — Über 1400 blockierte Anfragen.
-
13.239.253.194 — Über 1300 blockierte Anfragen.
-
3.25.204.16 — Über 1300 blockierte Anfragen.
-
18.220.143.136 — Über 1300 blockierte Anfragen.
-
13.40.54.54 — Über 1200 blockierte Anfragen.
-
35.177.84.254 — Über 1200 blockierte Anfragen.
-
3.148.213.82 — Über 1200 blockierte Anfragen.
-
3.8.127.16 — Über 1200 blockierte Anfragen.
-
18.118.154.234 — Über 1200 blockierte Anfragen.
Indikatoren für eine Kompromittierung
Ein deutliches Anzeichen für eine Infektion ist das Vorhandensein eines neu angelegten, bösartigen Administratorkontos auf der Website.
Zudem wird empfohlen, die Serverprotokolle auf Anfragen von den folgenden IP-Adressen zu überprüfen:
35.178.249.28
35.178.250.18
13.239.253.194
3.25.204.16
18.220.143.136
13.40.54.54
35.177.84.254
3.148.213.82
3.8.127.16
18.118.154.234
Das Fehlen entsprechender Einträge in den Protokollen bedeutet jedoch keine Garantie, dass die Website nicht kompromittiert wurde. Bei auffälligen Aktivitäten oder unbekannten Benutzerkonten sollte eine umfassende Sicherheitsüberprüfung durchgeführt werden – insbesondere, wenn eine anfällige Version des Plugins im Einsatz war.
„Heute berichten wir über Angriffsdaten zu einer kritischen Sicherheitslücke im WordPress‑Plugin WP Freeio. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, bei der Registrierung die Benutzerrolle anzugeben und sich so Administratorrechte zu verschaffen. Nach unseren Bedrohungsinformationen dürften Angreifer bereits am 10. Oktober 2025 mit ersten Ausnutzungsversuchen begonnen haben; die massenhafte Ausnutzung setzte demnach am 21. Oktober 2025 ein. Die Wordfence‑Firewall hat seitdem mehr als 33.200 Exploit‑Versuche abgewehrt, die auf diese Schwachstelle zielten.“ – Wordfence
Fachartikel
Solaranlagen im Visier von Hackern: Wie veraltete Protokolle die Energiewende gefährden
Wie Cyberkriminelle Microsoft-Nutzer mit gefälschten Gerätecodes täuschen
OpenAI präsentiert GPT-5.2-Codex: KI-Revolution für autonome Softwareentwicklung und IT-Sicherheit
Speicherfehler in Live-Systemen aufspüren: GWP-ASan macht es möglich
Geparkte Domains als Einfallstor für Cyberkriminalität: Über 90 Prozent leiten zu Schadsoftware weiter
Studien
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit
49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum
Deutschland im Glasfaserausbau international abgehängt
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
Whitepaper
State of Cloud Security Report 2025: Cloud-Angriffsfläche wächst schnell durch KI
BITMi zum Gutachten zum Datenzugriff von US-Behörden: EU-Unternehmen als Schlüssel zur Datensouveränität
Agentic AI als Katalysator: Wie die Software Defined Industry die Produktion revolutioniert
OWASP veröffentlicht Security-Framework für autonome KI-Systeme
Malware in Bewegung: Wie animierte Köder Nutzer in die Infektionsfalle locken
Hamsterrad-Rebell
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
