Plataforma
wordpress
Componente
appointify
Corregido en
1.0.9
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Appointify para WordPress. Esta vulnerabilidad permite a un atacante, aprovechando una sesión de usuario válida, ejecutar acciones no autorizadas en el sistema. La vulnerabilidad afecta a versiones de Appointify desde 0.0.0 hasta la 1.0.8 inclusive. Se recomienda actualizar el plugin a una versión corregida o implementar medidas de mitigación.
Un atacante puede explotar esta vulnerabilidad para realizar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. Esto podría incluir la modificación de configuraciones, la creación o eliminación de citas, o incluso el acceso a información sensible. El impacto potencial depende de los permisos del usuario comprometido y de la configuración del plugin Appointify. La explotación exitosa de esta vulnerabilidad podría resultar en la manipulación de datos, la interrupción del servicio o el compromiso de la seguridad del sitio web WordPress.
La vulnerabilidad CSRF es un riesgo común en aplicaciones web. Aunque no se han reportado campañas de explotación activas específicas para esta vulnerabilidad en Appointify, la naturaleza de CSRF significa que es susceptible a ataques automatizados. La publicación de la vulnerabilidad el 31 de diciembre de 2025 indica que la investigación reciente ha revelado este problema. Se recomienda monitorear la actividad del sitio web y buscar patrones de tráfico sospechosos.
Websites utilizing the Appointify WordPress plugin in versions 0.0.0 through 1.0.8 are at risk. This includes businesses and organizations relying on Appointify for appointment scheduling and management. Shared hosting environments are particularly vulnerable as a single compromised account could impact multiple websites.
• wordpress / composer / npm:
grep -r 'appointify/appointify' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep appointify• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/appointify/appointify.php | grep -i 'server' # Check for unusual server headersdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Appointify a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de protección adicionales, como la implementación de tokens CSRF en las acciones críticas del plugin. También se recomienda revisar y fortalecer las políticas de seguridad del sitio web WordPress, incluyendo la implementación de una WAF (Web Application Firewall) que pueda detectar y bloquear ataques CSRF. Si la actualización no es posible inmediatamente, considere deshabilitar temporalmente las funcionalidades más sensibles del plugin.
No se conoce ningún parche disponible. Por favor, revise los detalles de la vulnerabilidad en profundidad y aplique mitigaciones basadas en la tolerancia al riesgo de su organización. Puede ser mejor desinstalar el software afectado y buscar un reemplazo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59130 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el plugin Appointify para WordPress, permitiendo a atacantes realizar acciones no autorizadas.
Si está utilizando Appointify en versiones 0.0.0 hasta 1.0.8 inclusive, es vulnerable a esta vulnerabilidad CSRF.
Actualice el plugin Appointify a la última versión disponible, una vez que esté disponible. Mientras tanto, implemente medidas de protección CSRF.
Aunque no se han reportado campañas de explotación activas específicas, la naturaleza de CSRF lo hace susceptible a ataques automatizados.
Consulte el sitio web oficial de Appointify o el repositorio del plugin en WordPress.org para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.