Plateforme
wordpress
Composant
bookly-responsive-appointment-booking-tool
Corrigé dans
26.7.1
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans Bookly Responsive Appointment Booking Tool. Cette faille, due à une neutralisation incorrecte des entrées lors de la génération de pages web, permet à un attaquant d'injecter du code JavaScript malveillant. Elle affecte les versions de Bookly antérieures ou égales à 26.7 et une correction est disponible dans la version 26.8.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter des scripts malveillants dans les pages web consultées par les utilisateurs de Bookly. Cela peut conduire au vol de cookies de session, au détournement de l'authentification, à la modification du contenu de la page web, ou à la redirection des utilisateurs vers des sites malveillants. L'attaquant pourrait également utiliser cette faille pour diffuser du contenu malveillant à l'ensemble des utilisateurs du site web, compromettant ainsi la réputation et la sécurité de l'organisation. Le risque est amplifié si Bookly est utilisé pour collecter des informations sensibles, telles que des données personnelles ou financières.
Cette vulnérabilité a été rendue publique le 2026-03-25. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable. Il est probable que des preuves de concept (PoC) soient rapidement disponibles. Le KEV status est inconnu à ce jour.
Websites using the Bookly plugin for appointment scheduling, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/bookly-responsive-appointment-booking-tool/*• generic web:
curl -I https://your-website.com/bookly/?param=<script>alert(1)</script>• wordpress / composer / npm:
wp plugin list | grep booklydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Bookly vers la version 26.8 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de désactiver temporairement les fonctionnalités de Bookly qui permettent l'entrée de données utilisateur non validées. Si possible, implémentez des règles de filtrage côté serveur (WAF) pour bloquer les requêtes contenant des charges utiles XSS potentielles. Surveillez attentivement les journaux d'accès et d'erreurs du serveur web pour détecter les tentatives d'exploitation de cette vulnérabilité.
Mettre à jour vers la version 26.8, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32540 is a Reflected XSS vulnerability in Bookly versions up to 26.7, allowing attackers to inject malicious scripts via crafted URLs.
If you are using Bookly version 26.7 or earlier, you are affected by this vulnerability. Upgrade to version 26.8 or later to mitigate the risk.
The recommended fix is to upgrade Bookly to version 26.8 or later. Consider input validation and WAF rules as interim measures.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to become a target for attackers.
Refer to the Bookly plugin website and WordPress.org plugin repository for the latest security advisories and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.