Plataforma
wordpress
Componente
wpbookit
Corregido en
1.0.8
La vulnerabilidad CVE-2025-12685 afecta al plugin WPBookit para WordPress, específicamente en versiones anteriores o iguales a 1.0.7. Esta falla de seguridad permite a un atacante no autenticado eliminar clientes de la base de datos a través de un ataque de Cross-Site Request Forgery (CSRF). Se recomienda actualizar a la última versión disponible o implementar medidas de mitigación para proteger los datos de los clientes.
Un atacante puede explotar esta vulnerabilidad para eliminar clientes de la base de datos de WPBookit sin necesidad de autenticarse. Esto podría resultar en la pérdida de información de contacto, reservas y otros datos asociados a los clientes. El ataque CSRF se realiza engañando al usuario autenticado para que realice una acción no deseada, en este caso, la eliminación de un cliente. La falta de validación adecuada de la solicitud permite que un atacante manipule la petición y la ejecute en nombre del usuario, comprometiendo la integridad de la información almacenada.
La vulnerabilidad fue publicada el 2 de enero de 2026. Actualmente no se dispone de información sobre explotación activa en campañas dirigidas. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar las medidas de mitigación necesarias.
Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-bookit• wordpress / composer / npm:
wp plugin update wp-bookitdisclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
Vector CVSS
La solución principal es actualizar el plugin WPBookit a la última versión disponible, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se pueden implementar medidas de mitigación temporales, como la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Además, se recomienda utilizar un plugin de seguridad de WordPress que ofrezca protección contra ataques CSRF. Después de la actualización, confirme que la funcionalidad de eliminación de clientes requiere autenticación y validación adecuada.
No se dispone de un parche conocido. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-12685 es una vulnerabilidad CSRF en el plugin WPBookit para WordPress, que permite a atacantes borrar clientes sin autenticación.
Si está utilizando WPBookit en versiones anteriores o iguales a 1.0.7, es vulnerable a esta vulnerabilidad.
Actualice el plugin WPBookit a la última versión disponible o implemente medidas de mitigación temporales como CSP y un plugin de seguridad.
Actualmente no se dispone de información sobre explotación activa en campañas dirigidas, pero se recomienda monitorear la situación.
Consulte el sitio web oficial de WPBookit o el repositorio de WordPress para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.