Plateforme
wordpress
Composant
appointify
Corrigé dans
1.0.9
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans le plugin Appointify pour WordPress. Cette faille permet à un attaquant d'effectuer des actions non autorisées au nom d'un utilisateur authentifié, potentiellement compromettant les données et la configuration du plugin. Elle affecte les versions de Appointify comprises entre 0.0.0 et 1.0.8 inclus. Une correction est disponible.
La vulnérabilité CSRF dans Appointify permet à un attaquant d'exploiter la confiance d'un utilisateur authentifié pour effectuer des actions malveillantes. Par exemple, un attaquant pourrait modifier les paramètres de configuration du plugin, créer de nouvelles réservations frauduleuses, ou supprimer des données existantes. L'impact est amplifié si l'attaquant peut compromettre un compte administrateur, lui donnant un contrôle total sur le plugin et potentiellement sur l'ensemble du site WordPress. Cette vulnérabilité est similaire à d'autres failles CSRF où un attaquant peut manipuler les requêtes HTTP pour effectuer des actions non désirées.
La vulnérabilité CSRF dans Appointify n'est pas encore répertoriée sur KEV. La probabilité d'exploitation est considérée comme modérée, compte tenu de la nature courante des attaques CSRF et de la disponibilité potentielle de scripts d'exploitation. Aucune preuve d'exploitation active n'est actuellement disponible. La CVE a été publiée le 31 décembre 2025.
Websites utilizing the Appointify WordPress plugin in versions 0.0.0 through 1.0.8 are at risk. This includes businesses and organizations relying on Appointify for appointment scheduling and management. Shared hosting environments are particularly vulnerable as a single compromised account could impact multiple websites.
• wordpress / composer / npm:
grep -r 'appointify/appointify' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep appointify• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/appointify/appointify.php | grep -i 'server' # Check for unusual server headersdisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin Appointify vers la dernière version corrigée, dès que celle-ci est disponible. En attendant, des mesures de protection peuvent être mises en place. Il est recommandé d'activer le système de protection CSRF intégré à WordPress, qui ajoute des jetons uniques aux formulaires. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes CSRF malveillantes. Vérifiez après la mise à jour que les formulaires du plugin Appointify contiennent bien des jetons CSRF valides.
Aucun correctif connu n'est disponible. Veuillez examiner en profondeur les détails de la vulnérabilité et mettre en œuvre des mesures d'atténuation en fonction de la tolérance au risque de votre organisation. Il peut être préférable de désinstaller le logiciel affecté et de trouver un remplacement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59130 décrit une vulnérabilité de Cross-Site Request Forgery (CSRF) dans le plugin Appointify pour WordPress, permettant à un attaquant d'effectuer des actions non autorisées.
Oui, si vous utilisez Appointify dans les versions 0.0.0 à 1.0.8 inclus, vous êtes affecté par cette vulnérabilité.
La solution est de mettre à jour Appointify vers la dernière version disponible, qui corrige cette vulnérabilité. En attendant, activez la protection CSRF de WordPress et utilisez un WAF.
À l'heure actuelle, il n'y a aucune preuve d'exploitation active de CVE-2025-59130, mais la probabilité reste modérée en raison de la nature de la vulnérabilité.
Consultez le site web d'Appointify ou le dépôt GitHub du plugin pour obtenir l'avis officiel concernant CVE-2025-59130.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.