Plateforme
wordpress
Composant
wpbookit
Corrigé dans
1.0.8
Le plugin WPBookit pour WordPress est vulnérable à une faille de Cross-Site Request Forgery (CSRF) jusqu'à la version 1.0.7. Cette vulnérabilité permet à un attaquant non authentifié de supprimer des clients de la base de données via une requête CSRF. L'impact est modéré, car il permet la suppression de données sensibles, mais nécessite une interaction de l'utilisateur. La mise à jour vers une version corrigée est recommandée.
Cette vulnérabilité CSRF dans WPBookit permet à un attaquant de créer une requête malveillante qui, si exécutée par un utilisateur authentifié, supprimera un client du système de réservation. L'attaquant peut héberger cette requête sur un site web malveillant ou l'envoyer par e-mail. La suppression de clients peut entraîner la perte de données de réservation, de coordonnées et d'informations personnelles, perturbant potentiellement les opérations commerciales et nuisant à la réputation. Bien que la vulnérabilité nécessite une interaction de l'utilisateur, elle peut être exploitée par le biais d'ingénierie sociale ou de techniques d'automatisation.
Cette vulnérabilité a été rendue publique le 2 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour. Aucune preuve de code d'exploitation public n'est disponible. La vulnérabilité est actuellement classée comme MODÉRÉE en raison de la nécessité d'une interaction de l'utilisateur et de l'absence de code d'exploitation public.
Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-bookit• wordpress / composer / npm:
wp plugin update wp-bookitdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour le plugin WPBookit vers une version corrigée. Si la mise à jour n'est pas immédiatement possible, des mesures d'atténuation peuvent être mises en œuvre. Il est recommandé d'ajouter des vérifications CSRF robustes à toutes les fonctions de suppression de clients. L'utilisation d'un Web Application Firewall (WAF) capable de détecter et de bloquer les requêtes CSRF peut également aider à atténuer le risque. Après la mise à jour, vérifiez que les fonctions de suppression de clients nécessitent une authentification et une autorisation appropriées.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-12685 décrit une vulnérabilité CSRF dans le plugin WPBookit pour WordPress, permettant à un attaquant de supprimer des clients sans authentification.
Oui, si vous utilisez WPBookit et que votre version est inférieure ou égale à 1.0.7, vous êtes affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour WPBookit vers la dernière version disponible. Si la mise à jour n'est pas possible, appliquez des mesures d'atténuation telles que l'ajout de vérifications CSRF.
À l'heure actuelle, il n'y a aucune indication d'exploitation active de CVE-2025-12685, mais il est important de prendre des mesures pour se protéger.
Consultez le site web officiel de WPBookit ou le dépôt GitHub du plugin pour obtenir l'avis de sécurité correspondant à CVE-2025-12685.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.