Kritische Lücke im Service Finder Bookings‑Plugin ermöglicht Administratorzugriff

Im WordPress‑Plugin Service Finder Bookings gibt es eine Sicherheitslücke: Alle Versionen bis einschließlich 6.0 sind anfällig für eine Privilegieneskalation durch Umgehung der Authentifizierung. Ursache ist, dass der Cookie‑Wert eines Benutzers vor dem Login in der Funktion service_finder_switch_back() nicht korrekt validiert wird. Dadurch können nicht authentifizierte Angreifer sich als beliebiger Benutzer — einschließlich Administratoren — anmelden.

Service Finder-Buchungen <= 6.0 – Umgehung der Authentifizierung über Cookie zum Benutzerwechseln. 9,8

CVSS-Bewertung: 9,8 (kritisch)

CVE-ID: CVE-2025-5947

Betroffene Versionen <= 6.0

Gepatchte Version 6.1

Details zur Sicherheitslücke

Eine Untersuchung des Codes zeigt, dass das Plugin die Funktion service_finder_switch_back() verwendet, um den Wechsel zwischen Konten zu verwalten und zum ursprünglichen Benutzer zurückzukehren.

Leider wurde diese Funktion unsicher implementiert, da sie keine Authentifizierungs- oder Autorisierungsprüfungen enthält.

Dadurch können Angreifer die Authentifizierung umgehen und Zugriff auf beliebige Konten auf Websites erhalten, auf denen eine anfällige Version des Plugins ausgeführt wird. Wie immer macht es dies Angreifern leicht, eine anfällige WordPress-Website vollständig zu kompromittieren und das Opfer weiter zu infizieren.

Die folgende Grafik zeigt die Schritte, die ein Angreifer unternehmen könnte, und an welchem Punkt die Wordfence-Firewall einen Angreifer daran hindern würde, die Schwachstelle erfolgreich auszunutzen.

Gesamtzahl der blockierten Exploit-Versuche

Die Wordfence-Firewall hat seit der Veröffentlichung der Sicherheitslücke über 13.800 Exploit-Versuche blockiert.

Daten zufolge begannen Angreifer am Tag nach der Veröffentlichung der Sicherheitslücke, also am 1. August, mit Angriffen auf Websites. Außerdem hat Wordfence  vom 22. bis 29. September eine große Anzahl von Exploit-Versuchen entdeckt und blockiert.

IP-Adressen mit den meisten Verstößen

Die folgenden IP-Adressen sind derzeit die aktivsten IP-Adressen, die die Kontenwechsel-Funktion des Service Finder Bookings-Plugins angreifen:

• 5.189.221.98
  • Über 2700 blockierte Anfragen.
• 185.109.21.157
  • Über 2600 blockierte Anfragen.
• 192.121.16.196
  • Über 2600 blockierte Anfragen.
• 194.68.32.71
  • Über 2300 blockierte Anfragen.
• 178.125.204.198
  • Über 1400 blockierte Anfragen.

Indikatoren für eine Kompromittierung

Derzeit gibt es kaum eindeutige Hinweise auf eine Kompromittierung. Einzig protokollierte Anfragen mit dem Parameter „switch_back“ können als Indikator dienen. Gelingt es Angreifern, sich als Administrator einzuloggen, lassen sich Spuren leicht verwischen.

Es wird empfohlen, die Protokolldateien auf Anfragen von folgenden IP-Adressen zu prüfen:

• 5.189.221.98

• 185.109.21.157

• 192.121.16.196

• 194.68.32.71

• 178.125.204.198

Fehlen solche Einträge, bedeutet das nicht zwangsläufig, dass die Website sicher ist. Eine gründliche Überprüfung sollte erfolgen, insbesondere bei auffälligen Aktivitäten oder unbekannten Konten auf einer Website mit einer anfälligen Version des Plugins.

Fazit

Der Artikel beschreibt eine kritische Sicherheitslücke im Service Finder Bookings-Plugin, die nicht authentifizierten Angreifern den Zugriff auf Benutzerkonten ermöglicht. Laut Bedrohungsinformationen begannen erste Angriffe bereits am 1. August 2025, während die großflächige Ausnutzung am 22. September 2025 einsetzte.

Noch mehr Lesestoff für Sie

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky