Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in plug-ins van ontwikkelaar Case-Themes om WordPress-sites aan te vallen. Via het beveiligingslek kan een ongeauthenticeerde aanvaller als admin inloggen en zo volledige controle over de site krijgen. Dat laat securitybedrijf Wordfence in een analyse weten. Een beveiligingsupdate voor het probleem (CVE-2025-5821) is sinds 13 augustus beschikbaar. Aanvallen vinden sinds 23 augustus plaats, aldus de onderzoekers.

Case-Themes ontwikkelt verschillende themes en plug-ins, gericht op allerlei soorten bedrijven. Het gaat dan bijvoorbeeld om fitnessstudio's, restaurants en schoonmaakbedrijven, die via de plug-ins op hun WordPress-sites hun diensten kunnen aanbieden. Het beveiligingslek is aanwezig in het gedeelte van de Case-Themes plug-ins dat gebruikers via een socialmedia-account laat inloggen.

Wanneer een gebruiker een account aanmaakt, wordt er ook een nonce aangemaakt die voor de registratie wordt gebruikt. Een aanvaller kan deze nonce gebruiken in combinatie met het willekeurige e-mailadres van een andere gebruiker om vervolgens als die gebruiker in te loggen. De enige voorwaarde is dat een aanvaller een tijdelijk account aanmaakt en het e-mailadres van een andere gebruiker weet. Op deze manier kan een aanvaller ook als admin inloggen.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. Volgens Wordfence maken meer dan 12.000 WordPress-sites gebruik van de Case-Themes plug-ins. Het gaat hier om betaalde plug-ins. Volgens Wordfence wordt sinds 26 augustus op grote schaal misbruik van het lek gemaakt. Hoeveel websites de beschikbare update hebben geïnstalleerd is onbekend.