31. Oktober 2025
Wordfence warnt vor einer schwerwiegenden Sicherheitslücke im WordPress-Plugin WP Freeio, das im Premium-Theme Freeio mit über 1.700 Verkäufen enthalten ist. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich bei der Registrierung durch Manipulation der Benutzerrolle Administratorrechte zu verschaffen.
Laut Wordfence wurde die Sicherheitslücke am 25. September 2025 gemeldet. Der Entwickler veröffentlichte am 9. Oktober 2025 eine gepatchte Version. Bereits einen Tag später, am 10. Oktober 2025, registrierte Wordfence erste Angriffe über die Wordfence Intelligence-Datenbank. Seitdem hat die Wordfence-Firewall mehr als 33.200 Exploit-Versuche abgewehrt.
Da die Schwachstelle derzeit aktiv ausgenutzt wird, empfiehlt Wordfence allen Nutzern dringend, auf die aktuelle Version 1.2.22 von WP Freeio zu aktualisieren.
WP Freeio <= 1.2.21 – Nicht authentifizierte Rechteausweitung
Das WP Freeio-Plugin für WordPress ist in allen Versionen bis einschließlich 1.2.21 anfällig für Privilegieneskalation. Dies liegt daran, dass die Funktion process_register() nicht einschränkt, mit welchen Benutzerrollen sich ein Benutzer registrieren kann. Dadurch ist es nicht authentifizierten Angreifern möglich, bei der Registrierung die Rolle „Administrator” anzugeben und Administratorzugriff auf die Website zu erhalten.
CVE-ID: CVE-2025-11533
Affected Versions: <= 1.2.21
Patched Version: 1.2.22
Eine Code-Analyse zeigt, dass das Plugin die Methode process_register() der Klasse WP_Freeio_User zur Verarbeitung von Registrierungen nutzt. Diese Funktion ist unsicher implementiert: Nicht authentifizierte Angreifer können die Benutzerrolle bei der Registrierung frei festlegen und sich so selbst die Administratorrolle zuweisen.
Wie bei jeder Schwachstelle zur Ausweitung von Rechten kann dies zur vollständigen Kompromittierung einer Website führen. Erlangt ein Angreifer Administratorrechte, kann er Plugin- und Theme-Dateien hochladen — etwa bösartige ZIP-Dateien mit Hintertüren — sowie Beiträge und Seiten verändern, Besucher auf andere schädliche Seiten umleiten oder Spam einfügen.
Ein genauerer Blick auf die Angriffsdaten
Die folgenden IP-Adressen gehören zu den aktuell aktivsten Adressen, die Exploit-Versuche gegen die Registrierungsfunktion des WP Freeio-Plugins unternommen haben:
-
35.178.249.28 — Über 1500 blockierte Anfragen.
-
35.178.250.18 — Über 1400 blockierte Anfragen.
-
13.239.253.194 — Über 1300 blockierte Anfragen.
-
3.25.204.16 — Über 1300 blockierte Anfragen.
-
18.220.143.136 — Über 1300 blockierte Anfragen.
-
13.40.54.54 — Über 1200 blockierte Anfragen.
-
35.177.84.254 — Über 1200 blockierte Anfragen.
-
3.148.213.82 — Über 1200 blockierte Anfragen.
-
3.8.127.16 — Über 1200 blockierte Anfragen.
-
18.118.154.234 — Über 1200 blockierte Anfragen.
Indikatoren für eine Kompromittierung
Ein deutliches Anzeichen für eine Infektion ist das Vorhandensein eines neu angelegten, bösartigen Administratorkontos auf der Website.
Zudem wird empfohlen, die Serverprotokolle auf Anfragen von den folgenden IP-Adressen zu überprüfen:
35.178.249.28
35.178.250.18
13.239.253.194
3.25.204.16
18.220.143.136
13.40.54.54
35.177.84.254
3.148.213.82
3.8.127.16
18.118.154.234
Das Fehlen entsprechender Einträge in den Protokollen bedeutet jedoch keine Garantie, dass die Website nicht kompromittiert wurde. Bei auffälligen Aktivitäten oder unbekannten Benutzerkonten sollte eine umfassende Sicherheitsüberprüfung durchgeführt werden – insbesondere, wenn eine anfällige Version des Plugins im Einsatz war.
„Heute berichten wir über Angriffsdaten zu einer kritischen Sicherheitslücke im WordPress‑Plugin WP Freeio. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, bei der Registrierung die Benutzerrolle anzugeben und sich so Administratorrechte zu verschaffen. Nach unseren Bedrohungsinformationen dürften Angreifer bereits am 10. Oktober 2025 mit ersten Ausnutzungsversuchen begonnen haben; die massenhafte Ausnutzung setzte demnach am 21. Oktober 2025 ein. Die Wordfence‑Firewall hat seitdem mehr als 33.200 Exploit‑Versuche abgewehrt, die auf diese Schwachstelle zielten.“ – Wordfence
Fachartikel
Phishing über LiveChat: Wie Angreifer SaaS-Plattformen für Datendiebstahl nutzen
XWorm 7.1 und Remcos RAT: Angreifer setzen auf dateilose Techniken und Windows-Bordmittel
KI im Cyberkonflikt: Warum Verteidiger die Nase vorn haben
KadNap: Wie ein neues Botnetz tausende Asus-Router als Proxy-Knoten missbraucht
ClickFix-Variante nutzt WebDAV und trojanisierte Electron-App zur Malware-Verteilung
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Third Party Risk Management – auch das Procurement benötigt technische Unterstützung
EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung
Hamsterrad-Rebell
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
