CVE-2025-12685: CSRF in WPBookit WordPress Plugin

このCSRF脆弱性は、攻撃者がWPBookitプラグインを使用しているWordPressサイト上で顧客データを不正に削除することを可能にします。攻撃者は、悪意のあるウェブサイトやメールに埋め込まれたリンクを通じて、ユーザーがWPBookitの顧客削除機能にアクセスした際に、バックグラウンドで顧客を削除するリクエストを送信できます。これにより、顧客情報が失われたり、ビジネスオペレーションに混乱が生じる可能性があります。特に、顧客データが重要な役割を果たす予約システムやイベント管理システムにおいて、深刻な影響を及ぼす可能性があります。

Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.

• wordpress / composer / npm:

grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list --status=all | grep wp-bookit

• wordpress / composer / npm:

wp plugin update wp-bookit

1. 2026-01-02Disclosure

   disclosure

1. 予約済み2025-11-04
2. 公開日2026-01-02
3. 更新日2026-04-02
4. EPSS 更新日2026-03-23

WPBookitプラグインをバージョン1.0.8以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートがすぐに利用できない場合、WordPressのWAF（Web Application Firewall）プラグインを使用して、CSRF攻撃をブロックするルールを実装することを検討してください。また、顧客削除操作には、ユーザー認証と追加の確認ステップを導入することで、CSRF攻撃のリスクを軽減できます。プラグインのアップデート後、顧客データが正常に保護されていることを確認してください。