Plataforma
wordpress
Componente
bookly-responsive-appointment-booking-tool
Corregido en
26.7.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el plugin Bookly Responsive Appointment Booking Tool para WordPress. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos en las páginas web generadas, potencialmente comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a versiones del plugin desde n/a hasta la 26.7, y se ha solucionado en la versión 26.8.
Un atacante podría explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información confidencial. El impacto potencial es significativo, especialmente si el plugin Bookly se utiliza para gestionar citas o reservas que involucran información sensible. La inyección de scripts podría ser utilizada para realizar phishing dirigido o para comprometer la integridad de la aplicación.
Esta vulnerabilidad fue publicada el 2026-03-25. No se ha reportado explotación activa en entornos reales, pero la naturaleza de XSS reflejado la hace fácilmente explotable. La disponibilidad de un PoC público podría aumentar el riesgo de explotación. Se recomienda monitorear activamente los sistemas afectados.
Websites using the Bookly plugin for appointment scheduling, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/bookly-responsive-appointment-booking-tool/*• generic web:
curl -I https://your-website.com/bookly/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep booklydisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
Vector CVSS
La mitigación principal es actualizar el plugin Bookly a la versión 26.8 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Verifique la integridad de los archivos del plugin para detectar modificaciones no autorizadas.
Actualizar a la versión 26.8, o una versión parcheada más reciente
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32540 is a Reflected XSS vulnerability in Bookly versions up to 26.7, allowing attackers to inject malicious scripts via crafted URLs.
If you are using Bookly version 26.7 or earlier, you are affected by this vulnerability. Upgrade to version 26.8 or later to mitigate the risk.
The recommended fix is to upgrade Bookly to version 26.8 or later. Consider input validation and WAF rules as interim measures.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to become a target for attackers.
Refer to the Bookly plugin website and WordPress.org plugin repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.