Naar WP Support
go back Naar overzicht

Nieuwe WordPress plugin-vulnerabiliteit die admin-accounts bedreigt

Nieuwe WordPress plugin-vulnerabiliteit die admin-accounts bedreigt

Er zit een kritiek lek in de Service Finder Bookings-plugin waardoor WordPress-websites wereldwijd gevaar lopen. Door de kwetsbaarheid, bekend als CVE-2025-5947, kunnen aanvallers zonder in te loggen een beheerdersaccount overnemen en zo volledige controle over een site krijgen.

Het lek krijgt een zeer hoge ernstscore (CVSS 9.8) en komt door een fout in de zogeheten account-switching-functie van de plugin. De cookies worden daarbij niet goed gecontroleerd, waardoor de normale inlog- en autorisatiecontrole omzeild kan worden. Het gaat dus niet om een klassieke SQL-injectie, maar om een logische fout in de manier waarop sessies worden gevalideerd.

Hierdoor kunnen kwaadwillenden zich voordoen als admin en toegang krijgen tot gevoelige gegevens, instellingen aanpassen of zelfs de hele website overnemen. Websitebeheerders moeten de plugin zo snel mogelijk bijwerken naar versie 6.1 of hoger om misbruik te voorkomen.

Wat is Service Finder Bookings?

Service Finder Bookings is een WordPress-plugin waarmee bedrijven online afspraken en boekingen kunnen beheren. Denk aan kappers, therapeuten, consultants en andere dienstverleners die klanten via hun website laten reserveren of betalen.

De plugin is vaak onderdeel van het Service Finder-thema, dat volgens Wordfence ongeveer 6.000 keer is verkocht of geïnstalleerd. Dat lijkt misschien beperkt, maar betekent nog steeds dat duizenden websites potentieel kwetsbaar zijn – vooral kleinere dienstverlenende bedrijven die afhankelijk zijn van hun online boekingssysteem.

Details van de kwetsbaarheid

De kwetsbaarheid (CVE-2025-5947) maakt het mogelijk om de inlogcontrole van de plugin volledig te omzeilen. Aanvallers kunnen daardoor zonder account toegang krijgen tot beheerdersfuncties in het WordPress-dashboard.

De fout bevindt zich in de functie service_finder_switch_back(), die het original_user_id-cookie gebruikt om tussen accounts te wisselen. De plugin controleert deze cookie niet goed genoeg, waardoor een aanvaller een vervalst cookie kan sturen en zo wordt ingelogd als een willekeurige gebruiker – inclusief een administrator.

Alle versies tot en met 6.0 zijn kwetsbaar. Met een paar aangepaste HTTP-verzoeken kunnen aanvallers:

  • toegang krijgen tot beheerdersfuncties in het dashboard;
  • gebruikersgegevens en instellingen inzien of aanpassen;
  • bestaande admin-accounts wijzigen of nieuwe aanmaken;
  • gevoelige klant- en boekingsinformatie stelen of manipuleren.

Het gevaarlijkste is dat de aanval geen inlog vereist. Alles kan op afstand gebeuren, waardoor de drempel voor misbruik extreem laag is.

Hoe werkt de aanval?

Onderzoekers ontdekten de fout in juni 2025. De ontwikkelaar bracht een patch uit in juli 2025 (versie 6.1). Kort daarna verschenen de eerste aanvallen.

Volgens Wordfence zijn er inmiddels meer dan 13.800 pogingen tot misbruik gedetecteerd sinds de kwetsbaarheid openbaar werd. Dat laat zien hoe snel criminelen nieuwe exploits proberen te automatiseren.

  • Identificatie: Aanvallers scannen het internet op WordPress-websites met de kwetsbare Service Finder Bookings plugin geïnstalleerd.
  • Exploit: Ze sturen speciaal vervaardigde HTTP-verzoeken naar de website met gemanipuleerde cookies of parameters die door de plugin’s account-switching code worden verwerkt.
  • Authenticatie-/autorisatie-bypass: Omdat de plugin de cookies/parameters niet correct valideert of zuivert, accepteert de site de vervalste context en verleent de aanvaller toegang als admin.
  • Privilege escalatie: De aanvaller gebruikt de verworven admin-toegang om een nieuw administrator-account aan te maken of een bestaand account te wijzigen.
  • Volledige controle: Met admin-rechten kan de aanvaller inloggen via het WordPress-dashboard en heeft hij volledige controle over de website.

De aanval kan volledig geautomatiseerd worden en duurt vaak slechts enkele seconden.

Let op: het ontbreken van verdachte logregels betekent niet dat uw site veilig is. Met adminrechten kunnen aanvallers logbestanden wissen of hun sporen verbergen.

Wat moeten websitebeheerders doen?

Als u Service Finder Bookings gebruikt, is directe actie noodzakelijk.

Belangrijkste stappen:

  • Update de plugin onmiddellijk naar versie 6.1 of hoger.
  • Deactiveer of verwijder de plugin tijdelijk als updaten niet direct mogelijk is.
  • Controleer alle gebruikersaccounts op onbekende of verdachte admins en verwijder die direct.
  • Wijzig alle wachtwoorden, met prioriteit voor beheerdersaccounts, en gebruik sterke, unieke combinaties.
  • Scan uw website met een beveiligingsplugin zoals Wordfence, Sucuri Security of MalCare.
  • Controleer database- en systeembestanden op ongebruikelijke wijzigingen – met name in wp_users, wp_usermeta, wp-admin, wp-includes en wp-content.
  • Bekijk serverlogs voor verdachte activiteit, zoals vreemde POST-verzoeken of logins vanaf onbekende IP-adressen.
  • Controleer uw boekingsgegevens om te zien of klantinformatie is gewijzigd of verwijderd.

Extra beveiligingstips:

  • Log alle actieve sessies uit en ververs de WordPress authentication keys en salts in wp-config.php na het updaten.
  • Maak een volledige backup voordat u wijzigingen doorvoert.
  • Overweeg een web-application firewall (WAF) of hostingbeveiliging die verdachte requests kan blokkeren.
  • Overweeg daarnaast om een VPN-verbinding te gebruiken wanneer u inlogt op uw WordPress-dashboard. Een veilige verbinding verkleint de kans dat inloggegevens worden onderschept. Lees hier meer over wat een VPN-verbinding is.

Conclusie

De kwetsbaarheid CVE-2025-5947 in Service Finder Bookings is een van de ernstigste WordPress-pluginlekken van 2025. Met een CVSS-score van 9.8 en de mogelijkheid om een site volledig over te nemen zonder inlog, is snelle actie onmisbaar.

Update de plugin direct naar een veilige versie of verwijder deze voorlopig. Controleer uw site zorgvuldig op verdachte accounts of bestanden, en versterk uw beveiliging met regelmatige updates, sterke wachtwoorden en goede backups.

De les is duidelijk: voorkomen is

Delen

Gratis handleiding

Download de handleiding vandaag nog en haal het maximale uit jouw WordPress-site!

Meer lezen

Ander interessant nieuws

01-06-2026

WordPress 7.0 en AI: veilig en slim inzetten

Verder lezen
Blog
28-05-2026

Shopify met Exact Online koppelen in 2026, plug-and-play apps maken het webshop-eigenaren makkelijker dan ooit

Een plug-and-play koppeling tussen Shopify en Exact Online automatiseert administratieve processen en bespaart ondernemers tijd en kosten. De oplossing van iWebDevelopment synchroniseert bestellingen, klanten, artikelen en voorraad automatisch, biedt real-time financieel inzicht en is eenvoudig te installeren zonder technische kennis. In vergelijking met maatwerk is deze integratie sneller, betaalbaarder en veilig dankzij continue updates en sterke beveiligingsstandaarden.

Verder lezen
Blog
15-04-2026

WordPress gebruiken op je telefoon: zo werkt het

WordPress kun je eenvoudig via je smartphone gebruiken om blogposts te schrijven, afbeeldingen te uploaden en je website te beheren. Moderne telefoons maken dit snel en gebruiksvriendelijk, terwijl mobiel gebruik je helpt om je site beter te optimaliseren voor bezoekers.

Verder lezen
Gratis WordPress support