Wordfence warnt vor aktiven Angriffen auf WordPress-Plugin „Case Theme User“

Eine kritische Sicherheitslücke im WordPress-Plugin Case Theme User ermöglicht es Angreifern, sich ohne gültige Anmeldedaten Zugriff auf Benutzerkonten zu verschaffen – einschließlich Administrator-Accounts. Die Schwachstelle wird aktuell ausgenutzt. Website-Betreiber werden dringend aufgefordert, sofort auf die fehlerbereinigte Version zu aktualisieren.

Die Sicherheitslücke, registriert unter CVE-2025-5821 und mit einem CVSS-Score von 9,8 (kritisch) bewertet, betrifft alle Versionen bis einschließlich 1.0.3. Rund 12.000 Websites nutzen das Plugin, das zudem in mehreren Premium-Themes enthalten ist, die über ThemeForest vertrieben werden.

Angriff über Social Login möglich

Die Schwachstelle liegt in der Funktion facebook_ajax_login_callback() der Klasse Case_Theme_User_Ajax. Aufgrund fehlerhafter Logik reicht es aus, eine bekannte E-Mail-Adresse einzutragen, um Zugriff auf das entsprechende Benutzerkonto zu erhalten.

Das Angriffsschema ist simpel:

1. Der Angreifer registriert zunächst ein eigenes temporäres Konto.

2. Anschließend übermittelt er per AJAX die E-Mail-Adresse des Opfers.

3. Das Plugin setzt ein gültiges Authentifizierungs-Cookie – ohne eine tatsächliche Überprüfung der Facebook-Anmeldedaten.

Dadurch können Angreifer vollständigen Zugriff auf fremde Konten erlangen. Beobachtet wurden Versuche, häufig genutzte E-Mail-Adressen wie office@domain.com oder owner@domain.com  zu testen, um Administrator-Zugänge zu kompromittieren.

Patch veröffentlicht – Exploits bereits im Umlauf

Am 13. August 2025 stellte der Entwickler Version 1.0.4 bereit, die die Sicherheitslücke schließt. Am 22. August wurde die Schwachstelle öffentlich, schon einen Tag später registrierte Wordfence erste Ausnutzungsversuche.

Seitdem blockierte die Wordfence-Firewall über 20.900 Angriffe. Besonders aktiv zeigten sich Angreifer am 26. und 30. August sowie am 2. September. Zu den auffälligsten IP-Adressen zählen unter anderem:

• 2602:ffc8:2:105:216:3cff:fe96:129f (über 6.300 Anfragen)

• 146.70.186.142 (über 5.700 Anfragen)

• 107.175.179.8 (über 5.000 Anfragen)

Empfohlene Maßnahmen

Alle Betreiber, die Case Theme User einsetzen, sollten unverzüglich auf Version 1.0.4 aktualisieren. Zusätzlich wird empfohlen, die Wordfence-Firewall-Regeln zu aktivieren und Logdateien auf Hinweise möglicher Angriffsversuche zu prüfen.

Nur durch schnelle Updates und konsequenten Schutz per Firewall lassen sich Kontoübernahmen und vollständige Kompromittierungen betroffener WordPress-Seiten verhindern.

Das passt auch dazu

---