網路安全界正對一項針對熱門 Service Finder WordPress 主題的嚴重威脅發出警報。駭客們正積極利用一個允許繞過身份驗證的零時差漏洞，一旦成功，攻擊者就能以管理員身份登入受影響的網站。獲得管理員權限的後果極為嚴重，這賦予了威脅行為者對網站內容和設定的完全控制權，包括建立新帳戶、上傳惡意 PHP 檔案，甚至匯出整個網站資料庫的能力，對營運中的網站構成毀滅性風險。這個高級主題在 Envato Market 上擁有超過 6,000 次銷售記錄，意味著許多活躍的服務目錄和求職網站正暴露於風險之中。

WordPress 外掛程式安全公司Wordfence 自 8 月 1 日以來記錄了超過 13,800 次攻擊嘗試，威脅行為者正在積極利用 Service Finder WordPress 主題中的一個嚴重漏洞，該漏洞允許他們繞過身份驗證並以管理員身份登入。 Service Finder 是專為服務目錄和求職網站設計的高級 WordPress 主題。它支援客戶預訂、回饋、時間段管理、員工管理、發票產生和支付系統。最新攻擊中利用的漏洞編號為 CVE-2025-5947，嚴重程度評分為 9.8。此漏洞影響 Service Finder 6.0 及更早版本，源自於service_finder_switch_back()函數中對original_user_id cookie的驗證不當。 研究人員表示，用於發動攻擊的IP位址有多個，數千個攻擊請求僅來自其中五個。針對此類攻擊的防禦措施之一是將這些 IP位址列入黑名單。但要注意的是，攻擊者可能會切換到新的 IP 位址。鑑於 CVE-2025-5947 的活躍利用狀態，建議 Service Finder 主題的使用者盡快套用安全更新或停止使用該外掛程式。

此漏洞最初由安全研究員「Foxyyy」發現，並於 6 月 8 日透過 Wordfence 的錯誤賞金計畫回報。主題供應商 Aonetheme 隨後於 7 月 17 日發布了 6.1 版本進行修復。然而，在該問題於月底公開披露後，攻擊活動立即展開。Wordfence 觀察到，典型的攻擊模式是透過向網站根路徑發送一個帶有 switch_back=1 查詢參數的 HTTP GET 請求，來冒充現有使用者。儘管列入黑名單是必要的，但網站管理員必須意識到，攻擊者能隨時切換新的 IP 位址，因此，追蹤所有日誌中包含 switch_back 參數的請求，以及審查任何可疑的活動或被建立用於維持持久性的帳戶，都是不可或缺的防禦步驟。安全專家同時強調，由於管理員權限能讓駭客有能力刪除日誌或任何證據，因此即使日誌中沒有明確的入侵指標，也不能保證網站未被入侵。面對如此高強度的活躍利用，Service Finder 使用者應將安全更新視為最高優先事項，以迅速堵住這個關鍵的安全缺口。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-auth-bypass-in-service-finder-wordpress-theme/