Nieuws
image

WordPress-sites aangevallen via kritieke kwetsbaarheid in plug-in Freeio

donderdag 30 oktober 2025, 09:25 door Redactie, 4 reacties

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Freeio, zo laat securitybedrijf Wordfence weten. Freeio is een plug-in waarmee WordPress-sites zijn te veranderen in een "marktplaats voor freelancers". Zo kunnen werkgevers projecten plaatsen en freelancers accounts aanmaken om daarop te reageren. Het gaat om een betaalde plug-in die meer dan zeventienhonderd is aangeschaft.

De registratiefunctie van de plug-in bevatte een kritieke kwetsbaarheid, aangeduid als CVE-2025-11533. Een ongeauthenticeerde aanvaller kan tijdens de registratie opgeven met welke rol hij zich op de website wil registreren. Zo is het mogelijk voor aanvallers om zich als administrator te registreren en controle over de website te krijgen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De ontwikkelaars van de plug-in kwamen op 9 oktober met een beveiligingsupdate. Wordfence maakte het bestaan van de kwetsbaarheid op 10 oktober bekend en op dezelfde dag werden de eerste aanvallen waargenomen. Omdat het om een betaalde plug-in gaat is onbekend hoeveel WordPress-sites nog kwetsbaar zijn. Beheerders worden dan ook opgeroepen om de laatste versie van de plug-in te installeren en te controleren of er geen ongeautoriseerde administrator-accounts zijn aangemaakt.

Reacties (4)
Reageer met quote
30-10-2025, 10:08 door Anoniem
Check je WP=website hier:https://hackertarget.com/wordpress-security-scan/.
Reageer met quote
30-10-2025, 15:43 door Anoniem
wordpress aangevallen = water is nat

Zo'n beetje half amerika en china gebruikt gep0wned wordpress sites voor proxying van hun malware.
Reageer met quote
30-10-2025, 21:11 door Anoniem
Door Anoniem: wordpress aangevallen = water is nat

Zo'n beetje half amerika en china gebruikt gep0wned wordpress sites voor proxying van hun malware.

Lezen, het betreft een plug-inn in Wordpress die al vergaande rechten had en dat is misbruikt.
Zoiets als "Andoid aangevallen", en dan blijkt het een app te zijn met veel rechten die mensen geinstalleerd hebben.
Reageer met quote
31-10-2025, 12:39 door Anoniem
Wat is het probleem? U laat een gelikte website aanmaken,
u betaalt en de ontwerper is foetsie.
U regelt maintenance onvoldoende en de kosten
zitten dan onder in de zak bij een kwetsbaarheid als genoemde in een plug-in.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure