Plateforme
wordpress
Composant
bookly-responsive-appointment-booking-tool
Corrigé dans
27.0.1
La vulnérabilité CVE-2026-2519 affecte le paquet just4testlm, notamment dans les versions inférieures ou égales à 0.9.3. Elle se manifeste par la présence d'un payload malicieux intégré au fichier setup.py, qui peut entraîner l'exécution de scripts à distance ou l'exfiltration de variables d'environnement lors de l'installation. Les versions compromises (0.1.0, 0.4.0, 0.9.0) sont rapidement remplacées par des versions corrigées.
La vulnérabilité CVE-2026-2519 dans le plugin Bookly pour WordPress permet à des attaquants non authentifiés de manipuler les prix via le paramètre 'tips'. En soumettant un nombre négatif, les attaquants peuvent réduire le prix total à zéro. Cela représente un risque important pour les entreprises utilisant Bookly, pouvant entraîner des pertes financières dues à des rendez-vous forcés gratuits. L'absence de validation côté serveur des entrées utilisateur permet cette manipulation. L'impact est amplifié si le site web ne dispose pas d'autres mesures de sécurité robustes pour protéger les transactions financières. Cette vulnérabilité affecte toutes les versions de Bookly jusqu'à et y compris la 27.0, ce qui rend les mises à jour rapides essentielles.
Un attaquant non authentifié peut exploiter cette vulnérabilité en envoyant une requête HTTP malveillante à la page de paiement de Bookly. Cette requête inclura un paramètre 'tips' avec une valeur négative. En raison de l'absence de validation, le plugin interprétera incorrectement cette valeur, ce qui entraînera un prix total de zéro. L'attaquant pourrait automatiser ce processus à l'aide d'outils tels que cURL ou des scripts personnalisés pour effectuer plusieurs requêtes et maximiser l'impact. La facilité d'exploitation, combinée à la large adoption de Bookly, en fait un risque important pour les sites web WordPress.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La principale mesure d'atténuation pour CVE-2026-2519 consiste à mettre à jour le plugin Bookly vers la version 27.1 ou supérieure. Cette mise à jour inclut la validation côté serveur nécessaire pour le paramètre 'tips', empêchant la manipulation des prix. En attendant, examinez attentivement toutes les transactions de rendez-vous à la recherche de schémas suspects. Envisagez de mettre en œuvre une surveillance des prix pour détecter les anomalies. La désactivation temporaire de la fonction de pourboire est également une option. Des sauvegardes régulières du site web sont essentielles avant d'appliquer des mises à jour de plugin pour éviter la perte de données.
Update to version 27.1, or a newer patched version
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Bookly est un plugin WordPress populaire pour la prise de rendez-vous et la gestion des agendas en ligne.
Si vous utilisez une version de Bookly antérieure à la 27.1, votre site web est vulnérable à cette vulnérabilité.
En attendant de pouvoir mettre à jour, examinez attentivement toutes les transactions de rendez-vous et envisagez de désactiver temporairement la fonction de pourboire.
Non, un attaquant n'a pas besoin d'un accès au site web pour exploiter cette vulnérabilité.
Vous pouvez télécharger la mise à jour vers la version 27.1 ou supérieure à partir du référentiel de plugins WordPress ou du site web officiel de Bookly.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.