4. September 2025
Sicherheitsforscher haben eine bislang ungepatchte Schwachstelle im Service Finder Bookings-Plugin identifiziert, die Angreifern eine nicht authentifizierte Rechteausweitung ermöglicht. Nutzer des Plugins sollten daher dringend Vorsichtsmaßnahmen ergreifen: Solange kein Sicherheitsupdate verfügbar ist, wird empfohlen, das Plugin zu deaktivieren und von der Website zu entfernen.
Über das Service Finder Bookings-Plugin
Das Plugin ist ein erforderliches Plugin, das im Premium-Theme Service Finder enthalten ist, das über 6.000 Mal verkauft wurde. Das Theme ist ein Verzeichnis- und Jobbörsen-WordPress-Theme, und das Plugin selbst übernimmt den gesamten damit verbundenen Buchungsprozess für den Service Finder.
Die Sicherheitslücke
In den Versionen 6.1 (aktuellste) und darunter ist das Plugin anfällig für eine Privilegieneskalation, die es jedem nicht authentifizierten Angreifer ermöglicht, seine Berechtigungen auf Administratorrechte zu erweitern oder sich sogar als beliebiger Benutzer auf der Website anzumelden. Für diese Sicherheitslücke gibt es derzeit keine gepatchte Version. Sie wird unter der Nummer CVE-2025-23970 geführt.
Der Patch
Zum Zeitpunkt der Veröffentlichung dieses Artikels war uns keine gepatchte Version bekannt.
Es ist notwendig, bei der Handhabung von Sitzungen und Authentifizierungs-Cookies äußerste Vorsicht walten zu lassen. Bei der Zuweisung von Benutzersitzungen sollten ordnungsgemäße Authentifizierungs-/Autorisierungsprüfungen durchgeführt werden.
Zeitplan
31. Mai 2025 Wir haben den Sicherheitsbericht erhalten und den Anbieter benachrichtigt.
2. Juni 2025 Wir haben den Anbieter über die Sicherheitslücke informiert.
3. Juli 2025 Wir haben den Eintrag zur Sicherheitslücke in der Pachstack-Datenbank veröffentlicht (keine Antwort vom Anbieter).
3. September 2025 Veröffentlichung des Artikels mit Sicherheitshinweisen
Hier gibt’s noch mehr dazu
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl
Phishing-Angriff: Cyberkriminelle missbrauchen Microsoft-Infrastruktur für Betrugsmaschen
Wie Angreifer proprietäre KI-Modelle über normale API-Zugriffe stehlen können
KI-Agenten in cyber-physischen Systemen: Wie Deepfakes und MCP neue Sicherheitslücken öffnen
Sicherheitslücke in Cursor-IDE: Shell-Befehle werden zur Angriffsfläche
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://cdn-ileiehn.nitrocdn.com/EZdGeXuGcNedesCQNmzlOazGKKpdLlev/assets/images/optimized/rev-68905f9/www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Hamsterrad-Rebell
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
