MEDIUMCVE-2025-59130CVSS 4.3

CVE-2025-59130: CSRF in Appointify WordPress Plugin

プラットフォーム

wordpress

コンポーネント

appointify

修正版

1.0.9

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59130は、Appointify WordPressプラグインにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。この脆弱性は、攻撃者が認証済みのユーザーを騙して、ユーザー自身が意図しない操作を実行させることを可能にします。影響を受けるバージョンは0.0.0から1.0.8までです。開発者はバージョン1.0.9でこの問題を修正しました。

影響と攻撃シナリオ

CSRF攻撃は、攻撃者が正規のユーザーとしてAppointifyプラグインにリクエストを送信することで発生します。例えば、攻撃者は悪意のあるリンクをクリックさせることで、ユーザーの予約をキャンセルしたり、設定を変更したり、その他の機密情報を漏洩させたりする可能性があります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう可能性があります。攻撃者は、ユーザーがログインしている間に、そのユーザーの権限を悪用して、サイトの管理機能を操作したり、データを改ざんしたりする可能性があります。

悪用の状況

この脆弱性は、2025年12月31日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。CISAのKEVリストにはまだ登録されていません。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Websites utilizing the Appointify WordPress plugin in versions 0.0.0 through 1.0.8 are at risk. This includes businesses and organizations relying on Appointify for appointment scheduling and management. Shared hosting environments are particularly vulnerable as a single compromised account could impact multiple websites.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'appointify/appointify' /var/www/html/wp-content/plugins/

• wordpress / composer / npm:

wp plugin list | grep appointify

• wordpress / composer / npm:

curl -I https://your-wordpress-site.com/wp-content/plugins/appointify/appointify.php | grep -i 'server' # Check for unusual server headers

攻撃タイムライン

2025-12-31Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントappointify

ベンダーwordfence

影響範囲修正版

0 – 1.0.81.0.9

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2025-09-09
公開日2025-12-31
更新日2026-04-28
EPSS 更新日2026-03-23

未パッチ — 公開から144日経過

緩和策と回避策

この脆弱性への対応策として、まずAppointifyプラグインをバージョン1.0.9以降にアップデートすることを推奨します。アップデートが困難な場合は、WordPressのセキュリティプラグインを使用してCSRFトークンを実装するか、WAF（Web Application Firewall）を導入して、悪意のあるリクエストをブロックすることを検討してください。また、WordPressのセキュリティ設定を見直し、不要なプラグインを削除することも重要です。攻撃を検知するためには、WordPressのアクセスログを監視し、不審なリクエストを特定する必要があります。

修正方法

既知の修正パッチはありません。脆弱性の詳細を詳細に検討し、組織のリスク許容度に基づいて軽減策を講じてください。影響を受けるソフトウェアをアンインストールし、代替手段を見つけるのが最善かもしれません。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59130 — CSRF in Appointify WordPressプラグインとは何ですか？

CVE-2025-59130は、Appointify WordPressプラグインのバージョン0.0.0～1.0.8において、攻撃者が認証済みのユーザーを騙して意図しない操作を実行させる可能性があるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。

CVE-2025-59130 in Appointify WordPressプラグインの影響を受けていますか？

Appointify WordPressプラグインのバージョン0.0.0から1.0.8を使用している場合は、この脆弱性の影響を受けています。バージョン1.0.9以降にアップデートすることで修正されます。

CVE-2025-59130 in Appointify WordPressプラグインを修正するにはどうすればよいですか？

Appointify WordPressプラグインをバージョン1.0.9以降にアップデートしてください。アップデートができない場合は、WAFを導入するか、WordPressのセキュリティプラグインを使用してCSRFトークンを実装することを検討してください。

CVE-2025-59130は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。

CVE-2025-59130に関するAppointifyの公式アドバイザリはどこで入手できますか？

Appointifyの公式アドバイザリは、AppointifyのウェブサイトまたはWordPressプラグインリポジトリで確認できます。

CVE-2025-59130: CSRF in Appointify WordPress Plugin

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-59130 — CSRF in Appointify WordPressプラグインとは何ですか？

CVE-2025-59130 in Appointify WordPressプラグインの影響を受けていますか？

CVE-2025-59130 in Appointify WordPressプラグインを修正するにはどうすればよいですか？

CVE-2025-59130は積極的に悪用されていますか？

CVE-2025-59130に関するAppointifyの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認