Er zit een kritiek lek in de Service Finder Bookings-plugin waardoor WordPress-websites wereldwijd gevaar lopen. Door de kwetsbaarheid, bekend als CVE-2025-5947, kunnen aanvallers zonder in te loggen een beheerdersaccount overnemen en zo volledige controle over een site krijgen.
Het lek krijgt een zeer hoge ernstscore (CVSS 9.8) en komt door een fout in de zogeheten account-switching-functie van de plugin. De cookies worden daarbij niet goed gecontroleerd, waardoor de normale inlog- en autorisatiecontrole omzeild kan worden. Het gaat dus niet om een klassieke SQL-injectie, maar om een logische fout in de manier waarop sessies worden gevalideerd.
Hierdoor kunnen kwaadwillenden zich voordoen als admin en toegang krijgen tot gevoelige gegevens, instellingen aanpassen of zelfs de hele website overnemen. Websitebeheerders moeten de plugin zo snel mogelijk bijwerken naar versie 6.1 of hoger om misbruik te voorkomen.
Wat is Service Finder Bookings?
Service Finder Bookings is een WordPress-plugin waarmee bedrijven online afspraken en boekingen kunnen beheren. Denk aan kappers, therapeuten, consultants en andere dienstverleners die klanten via hun website laten reserveren of betalen.
De plugin is vaak onderdeel van het Service Finder-thema, dat volgens Wordfence ongeveer 6.000 keer is verkocht of geïnstalleerd. Dat lijkt misschien beperkt, maar betekent nog steeds dat duizenden websites potentieel kwetsbaar zijn – vooral kleinere dienstverlenende bedrijven die afhankelijk zijn van hun online boekingssysteem.
Details van de kwetsbaarheid
De kwetsbaarheid (CVE-2025-5947) maakt het mogelijk om de inlogcontrole van de plugin volledig te omzeilen. Aanvallers kunnen daardoor zonder account toegang krijgen tot beheerdersfuncties in het WordPress-dashboard.
De fout bevindt zich in de functie service_finder_switch_back(), die het original_user_id-cookie gebruikt om tussen accounts te wisselen. De plugin controleert deze cookie niet goed genoeg, waardoor een aanvaller een vervalst cookie kan sturen en zo wordt ingelogd als een willekeurige gebruiker – inclusief een administrator.
Alle versies tot en met 6.0 zijn kwetsbaar. Met een paar aangepaste HTTP-verzoeken kunnen aanvallers:
- toegang krijgen tot beheerdersfuncties in het dashboard;
- gebruikersgegevens en instellingen inzien of aanpassen;
- bestaande admin-accounts wijzigen of nieuwe aanmaken;
- gevoelige klant- en boekingsinformatie stelen of manipuleren.
Het gevaarlijkste is dat de aanval geen inlog vereist. Alles kan op afstand gebeuren, waardoor de drempel voor misbruik extreem laag is.
Hoe werkt de aanval?
Onderzoekers ontdekten de fout in juni 2025. De ontwikkelaar bracht een patch uit in juli 2025 (versie 6.1). Kort daarna verschenen de eerste aanvallen.
Volgens Wordfence zijn er inmiddels meer dan 13.800 pogingen tot misbruik gedetecteerd sinds de kwetsbaarheid openbaar werd. Dat laat zien hoe snel criminelen nieuwe exploits proberen te automatiseren.
- Identificatie: Aanvallers scannen het internet op WordPress-websites met de kwetsbare Service Finder Bookings plugin geïnstalleerd.
- Exploit: Ze sturen speciaal vervaardigde HTTP-verzoeken naar de website met gemanipuleerde cookies of parameters die door de plugin’s account-switching code worden verwerkt.
- Authenticatie-/autorisatie-bypass: Omdat de plugin de cookies/parameters niet correct valideert of zuivert, accepteert de site de vervalste context en verleent de aanvaller toegang als admin.
- Privilege escalatie: De aanvaller gebruikt de verworven admin-toegang om een nieuw administrator-account aan te maken of een bestaand account te wijzigen.
- Volledige controle: Met admin-rechten kan de aanvaller inloggen via het WordPress-dashboard en heeft hij volledige controle over de website.
De aanval kan volledig geautomatiseerd worden en duurt vaak slechts enkele seconden.
Let op: het ontbreken van verdachte logregels betekent niet dat uw site veilig is. Met adminrechten kunnen aanvallers logbestanden wissen of hun sporen verbergen.
Wat moeten websitebeheerders doen?
Als u Service Finder Bookings gebruikt, is directe actie noodzakelijk.
Belangrijkste stappen:
- Update de plugin onmiddellijk naar versie 6.1 of hoger.
- Deactiveer of verwijder de plugin tijdelijk als updaten niet direct mogelijk is.
- Controleer alle gebruikersaccounts op onbekende of verdachte admins en verwijder die direct.
- Wijzig alle wachtwoorden, met prioriteit voor beheerdersaccounts, en gebruik sterke, unieke combinaties.
- Scan uw website met een beveiligingsplugin zoals Wordfence, Sucuri Security of MalCare.
- Controleer database- en systeembestanden op ongebruikelijke wijzigingen – met name in wp_users, wp_usermeta, wp-admin, wp-includes en wp-content.
- Bekijk serverlogs voor verdachte activiteit, zoals vreemde POST-verzoeken of logins vanaf onbekende IP-adressen.
- Controleer uw boekingsgegevens om te zien of klantinformatie is gewijzigd of verwijderd.
Extra beveiligingstips:
- Log alle actieve sessies uit en ververs de WordPress authentication keys en salts in wp-config.php na het updaten.
- Maak een volledige backup voordat u wijzigingen doorvoert.
- Overweeg een web-application firewall (WAF) of hostingbeveiliging die verdachte requests kan blokkeren.
- Overweeg daarnaast om een VPN-verbinding te gebruiken wanneer u inlogt op uw WordPress-dashboard. Een veilige verbinding verkleint de kans dat inloggegevens worden onderschept. Lees hier meer over wat een VPN-verbinding is.
Conclusie
De kwetsbaarheid CVE-2025-5947 in Service Finder Bookings is een van de ernstigste WordPress-pluginlekken van 2025. Met een CVSS-score van 9.8 en de mogelijkheid om een site volledig over te nemen zonder inlog, is snelle actie onmisbaar.
Update de plugin direct naar een veilige versie of verwijder deze voorlopig. Controleer uw site zorgvuldig op verdachte accounts of bestanden, en versterk uw beveiliging met regelmatige updates, sterke wachtwoorden en goede backups.
De les is duidelijk: voorkomen is goedkoper dan herstellen.
