31. Oktober 2025
Wordfence warnt vor einer schwerwiegenden Sicherheitslücke im WordPress-Plugin WP Freeio, das im Premium-Theme Freeio mit über 1.700 Verkäufen enthalten ist. Die Schwachstelle ermöglicht es nicht authentifizierten Angreifern, sich bei der Registrierung durch Manipulation der Benutzerrolle Administratorrechte zu verschaffen.
Laut Wordfence wurde die Sicherheitslücke am 25. September 2025 gemeldet. Der Entwickler veröffentlichte am 9. Oktober 2025 eine gepatchte Version. Bereits einen Tag später, am 10. Oktober 2025, registrierte Wordfence erste Angriffe über die Wordfence Intelligence-Datenbank. Seitdem hat die Wordfence-Firewall mehr als 33.200 Exploit-Versuche abgewehrt.
Da die Schwachstelle derzeit aktiv ausgenutzt wird, empfiehlt Wordfence allen Nutzern dringend, auf die aktuelle Version 1.2.22 von WP Freeio zu aktualisieren.
WP Freeio <= 1.2.21 – Nicht authentifizierte Rechteausweitung
Das WP Freeio-Plugin für WordPress ist in allen Versionen bis einschließlich 1.2.21 anfällig für Privilegieneskalation. Dies liegt daran, dass die Funktion process_register() nicht einschränkt, mit welchen Benutzerrollen sich ein Benutzer registrieren kann. Dadurch ist es nicht authentifizierten Angreifern möglich, bei der Registrierung die Rolle „Administrator” anzugeben und Administratorzugriff auf die Website zu erhalten.
CVE-ID: CVE-2025-11533
Affected Versions: <= 1.2.21
Patched Version: 1.2.22
Eine Code-Analyse zeigt, dass das Plugin die Methode process_register() der Klasse WP_Freeio_User zur Verarbeitung von Registrierungen nutzt. Diese Funktion ist unsicher implementiert: Nicht authentifizierte Angreifer können die Benutzerrolle bei der Registrierung frei festlegen und sich so selbst die Administratorrolle zuweisen.
Wie bei jeder Schwachstelle zur Ausweitung von Rechten kann dies zur vollständigen Kompromittierung einer Website führen. Erlangt ein Angreifer Administratorrechte, kann er Plugin- und Theme-Dateien hochladen — etwa bösartige ZIP-Dateien mit Hintertüren — sowie Beiträge und Seiten verändern, Besucher auf andere schädliche Seiten umleiten oder Spam einfügen.
Ein genauerer Blick auf die Angriffsdaten
Die folgenden IP-Adressen gehören zu den aktuell aktivsten Adressen, die Exploit-Versuche gegen die Registrierungsfunktion des WP Freeio-Plugins unternommen haben:
-
35.178.249.28 — Über 1500 blockierte Anfragen.
-
35.178.250.18 — Über 1400 blockierte Anfragen.
-
13.239.253.194 — Über 1300 blockierte Anfragen.
-
3.25.204.16 — Über 1300 blockierte Anfragen.
-
18.220.143.136 — Über 1300 blockierte Anfragen.
-
13.40.54.54 — Über 1200 blockierte Anfragen.
-
35.177.84.254 — Über 1200 blockierte Anfragen.
-
3.148.213.82 — Über 1200 blockierte Anfragen.
-
3.8.127.16 — Über 1200 blockierte Anfragen.
-
18.118.154.234 — Über 1200 blockierte Anfragen.
Indikatoren für eine Kompromittierung
Ein deutliches Anzeichen für eine Infektion ist das Vorhandensein eines neu angelegten, bösartigen Administratorkontos auf der Website.
Zudem wird empfohlen, die Serverprotokolle auf Anfragen von den folgenden IP-Adressen zu überprüfen:
35.178.249.28
35.178.250.18
13.239.253.194
3.25.204.16
18.220.143.136
13.40.54.54
35.177.84.254
3.148.213.82
3.8.127.16
18.118.154.234
Das Fehlen entsprechender Einträge in den Protokollen bedeutet jedoch keine Garantie, dass die Website nicht kompromittiert wurde. Bei auffälligen Aktivitäten oder unbekannten Benutzerkonten sollte eine umfassende Sicherheitsüberprüfung durchgeführt werden – insbesondere, wenn eine anfällige Version des Plugins im Einsatz war.
„Heute berichten wir über Angriffsdaten zu einer kritischen Sicherheitslücke im WordPress‑Plugin WP Freeio. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, bei der Registrierung die Benutzerrolle anzugeben und sich so Administratorrechte zu verschaffen. Nach unseren Bedrohungsinformationen dürften Angreifer bereits am 10. Oktober 2025 mit ersten Ausnutzungsversuchen begonnen haben; die massenhafte Ausnutzung setzte demnach am 21. Oktober 2025 ein. Die Wordfence‑Firewall hat seitdem mehr als 33.200 Exploit‑Versuche abgewehrt, die auf diese Schwachstelle zielten.“ – Wordfence
Fachartikel
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Stärkung von Red Teams: Ein modulares Gerüst für Kontrollbewertungen
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte
DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität
Studien
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken
Whitepaper
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
