CVE-2025-12685: CSRF in WPBookit WordPress Plugin

यह CSRF भेद्यता हमलावरों को अनधिकृत रूप से WPBookit प्लगइन का उपयोग करके प्रबंधित किए जा रहे ग्राहकों को हटाने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण वेबसाइट या ईमेल के माध्यम से CSRF अनुरोध भेज सकता है, जो उपयोगकर्ता को अनजाने में ग्राहक को हटाने के लिए प्रेरित करेगा। यह डेटा हानि और संभावित रूप से व्यवसाय संचालन में व्यवधान का कारण बन सकता है। चूंकि भेद्यता बिना प्रमाणीकरण के शोषण योग्य है, इसलिए यह विशेष रूप से गंभीर है, क्योंकि हमलावर को वैध उपयोगकर्ता खाते तक पहुंच की आवश्यकता नहीं होती है।

Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.

• wordpress / composer / npm:

grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=all | grep wp-bookit

• wordpress / composer / npm:

wp plugin update wp-bookit

1. 2026-01-02Disclosure

   disclosure

1. आरक्षित2025-11-04
2. प्रकाशित2026-01-02
3. संशोधित2026-04-02
4. EPSS अद्यतन2026-03-23

CVE-2025-12685 को कम करने का प्राथमिक तरीका WPBookit प्लगइन को नवीनतम संस्करण में अपडेट करना है, जिसमें CSRF सुरक्षा लागू की गई है। यदि तत्काल अपडेट संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF हमलों को ब्लॉक करने के लिए किया जा सकता है। इसके अतिरिक्त, प्लगइन के ग्राहक प्रबंधन इंटरफ़ेस तक पहुंच को सीमित करने के लिए एक्सेस नियंत्रण उपायों को लागू किया जाना चाहिए। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि CSRF सुरक्षा ठीक से काम कर रही है, ग्राहक हटाने की कार्यक्षमता का परीक्षण करें।