Hackers maken actief misbruik van een ernstig beveiligingslek in het populaire JobMonster WordPress-thema. Door de kwetsbaarheid kunnen aanvallers onder specifieke omstandigheden beheerdersaccounts overnemen en zo volledige controle krijgen over getroffen websites.
BleepingComputer schrijft erover. De kwetsbaarheid, geregistreerd als CVE-2025-5397, kreeg een risicoscore van 9,8 op een schaal van 10. Het probleem is aanwezig in alle versies tot en met 4.8.1 van het thema. Het betreft een fout in de functie die gebruikersauthenticatie afhandelt, waarbij de identiteit van een gebruiker niet goed wordt gecontroleerd voordat toegang wordt verleend. Daardoor kan een aanvaller zonder geldige inloggegevens in bepaalde gevallen inloggen als beheerder.
Het beveiligingsbedrijf Wordfence ontdekte de aanvallen nadat het in korte tijd meerdere pogingen tot misbruik had geblokkeerd. Volgens de onderzoekers gaat het om gerichte aanvallen op websites waar de social login-functie van JobMonster is ingeschakeld.
Die functie laat gebruikers inloggen met bestaande accounts van bijvoorbeeld Google, Facebook of LinkedIn. Het thema vertrouwt die externe inloggegevens echter zonder ze voldoende te verifiëren, waardoor kwaadwillenden de procedure kunnen omzeilen en beheerdersrechten kunnen verkrijgen.
Om de aanval succesvol uit te voeren, moeten criminelen doorgaans ook de gebruikersnaam of het e-mailadres van een beheerder kennen. Zodra die informatie bekend is, kan de fout worden misbruikt om toegang te krijgen tot het beheerdersdashboard van de website.
Kwetsbaarheid inmiddels verholpen
De ontwikkelaar van JobMonster, NooThemes, heeft de kwetsbaarheid inmiddels verholpen in versie 4.8.2 van het thema. Gebruikers krijgen het dringende advies zo snel mogelijk te updaten naar deze versie om misbruik te voorkomen. Wie niet direct kan upgraden, kan het risico tijdelijk beperken door de social login-optie uit te schakelen. Daarnaast wordt geadviseerd tweefactorauthenticatie in te schakelen, wachtwoorden te wijzigen en de toegangslogs te controleren op verdachte activiteit.
JobMonster is een premium WordPress-thema dat veel wordt gebruikt voor vacature- en wervingswebsites. Volgens cijfers van marktplaats Envato is het thema meer dan 5.500 keer verkocht.
Het incident past in een bredere trend van aanvallen op commerciële WordPress-thema’s. Eerder dit jaar werden ook andere premiumthema’s getroffen door ernstige kwetsbaarheden die onder meer privilege-escalatie en authenticatie-omzeiling mogelijk maakten. Beveiligingsdeskundigen benadrukken dat websitebeheerders hun thema’s en plug-ins regelmatig moeten bijwerken. Vertraging in updates vergroot de kans op succesvolle aanvallen, zelfs maanden nadat een lek is ontdekt.