Platform
wordpress
Component
wpbookit
Opgelost in
1.0.8
CVE-2025-12685 beschrijft een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WPBookit WordPress plugin. Deze kwetsbaarheid stelt een niet-geauthenticeerde aanvaller in staat om klantgegevens te verwijderen via een CSRF-aanval. De kwetsbaarheid treft versies van WPBookit plugin tot en met 1.0.7. Een update naar de meest recente versie is vereist om deze kwetsbaarheid te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde verwijdering van klantgegevens in de WPBookit plugin. Dit kan resulteren in dataverlies, verstoring van de dienstverlening en mogelijk reputatieschade. Aangezien de kwetsbaarheid geen authenticatie vereist, kan een aanvaller deze op afstand exploiteren, wat de potentiële impact aanzienlijk vergroot. De aanval kan worden uitgevoerd door een kwaadwillende website of e-mail die een verborgen verzoek naar de plugin stuurt, waardoor de aanvaller de controle over de acties van een geauthenticeerde gebruiker overneemt.
Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid exploiteren. Er zijn ook geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is openbaar gemaakt op 2026-01-02. De ernst van de kwetsbaarheid is beoordeeld als MEDIUM.
Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-bookit• wordpress / composer / npm:
wp plugin update wp-bookitdisclosure
Exploit Status
EPSS
0.01% (1% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2025-12685 is het updaten van de WPBookit plugin naar de meest recente versie, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van CSRF-bescherming op de klantverwijderingsfunctionaliteit. Dit kan door middel van het toevoegen van een CSRF-token aan de formulieren en het valideren van dit token voordat de actie wordt uitgevoerd. Het is ook aan te raden om web application firewall (WAF) regels te implementeren die CSRF-aanvallen detecteren en blokkeren. Na de upgrade, controleer of de klantgegevens correct worden beschermd en dat de verwijderingsfunctionaliteit alleen toegankelijk is voor geautoriseerde gebruikers.
Geen bekende patch beschikbaar. Bestudeer de details van de kwetsbaarheid grondig en pas mitigaties toe op basis van de risicotolerantie van uw organisatie. Het kan het beste zijn om de getroffen software te verwijderen en een vervanging te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-12685 is een Cross-Site Request Forgery (CSRF) kwetsbaarheid in de WPBookit WordPress plugin, waardoor een aanvaller klantgegevens kan verwijderen zonder authenticatie.
Ja, als u de WPBookit plugin gebruikt in versie 1.0.7 of lager, bent u kwetsbaar voor deze CSRF-aanval.
Update de WPBookit plugin naar de meest recente versie. Indien een upgrade niet mogelijk is, implementeer dan CSRF-bescherming op de klantverwijderingsfunctionaliteit.
Op dit moment zijn er geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar het is belangrijk om de plugin te updaten om toekomstige aanvallen te voorkomen.
Raadpleeg de officiële WPBookit website of de WordPress plugin directory voor het meest recente advisory en updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.