WordPress-websites worden momenteel aangevallen door een ernstige kwetsbaarheid in de Freeio-plug-in, meldt beveiligingsbedrijf Wordfence. Freeio is een plug-in die WordPress-sites in een marktplaats voor freelancers verandert, waar werkgevers projecten kunnen plaatsen en freelancers accounts kunnen aanmaken om te reageren. Deze betaalde plug-in is meer dan 1700 keer aangeschaft.

De registratiefunctie van Freeio bevatte een kritieke kwetsbaarheid, aangeduid als CVE-2025-11533. Hierdoor kan een ongeauthenticeerde aanvaller tijdens registratie een rol kiezen, zoals administrator, en zo controle over de site krijgen. De kwetsbaarheid heeft een impactscore van 9.8 op een schaal van 10. Op 9 oktober brachten de ontwikkelaars een beveiligingsupdate uit. Wordfence maakte de kwetsbaarheid op 10 oktober bekend en op diezelfde dag werden de eerste aanvallen gemeld. Het is onbekend hoeveel sites nog kwetsbaar zijn, omdat het een betaalde plug-in betreft. Beheerders worden aangespoord om de nieuwste versie te installeren en te controleren op ongeautoriseerde administrator-accounts.