Plataforma
wordpress
Componente
wpbookit
Corrigido em
1.0.8
A vulnerabilidade CVE-2025-12685 afeta o plugin WPBookit para WordPress, permitindo que um atacante não autenticado delete clientes através de um ataque CSRF. Essa falha ocorre devido à ausência de verificações adequadas de CSRF ao excluir clientes. Versões do plugin WPBookit anteriores ou iguais a 1.0.7 são vulneráveis. A correção está disponível em versões posteriores do plugin.
Um atacante pode explorar essa vulnerabilidade para deletar clientes no sistema WPBookit sem a necessidade de autenticação. Ao criar uma requisição maliciosa e induzir um usuário legítimo a acessá-la, o atacante pode efetivamente deletar qualquer cliente, comprometendo dados e potencialmente interrompendo o agendamento de serviços. A ausência de autenticação torna o ataque relativamente simples de executar, aumentando o risco de exploração em larga escala, especialmente em sites com muitos clientes cadastrados. A deleção de dados de clientes pode levar a perda de informações importantes e impactar negativamente a reputação do site.
A vulnerabilidade foi divulgada em 2026-01-02. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a facilidade de execução do ataque sugere um risco moderado. A vulnerabilidade não está listada no CISA KEV catalog.
Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-bookit• wordpress / composer / npm:
wp plugin update wp-bookitdisclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
Vetor CVSS
A mitigação primária é atualizar o plugin WPBookit para a versão mais recente, que corrige a vulnerabilidade CSRF. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a utilização de um Web Application Firewall (WAF) para bloquear requisições suspeitas de deleção de clientes. Além disso, revise as configurações de permissões do plugin para garantir que apenas usuários autorizados possam excluir clientes. Monitore os logs do WordPress em busca de atividades suspeitas relacionadas à deleção de clientes.
Nenhuma correção conhecida disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e implemente mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-12685 é uma vulnerabilidade CSRF no plugin WPBookit para WordPress, permitindo a deleção de clientes por atacantes não autenticados.
Sim, se você estiver usando o plugin WPBookit em versões anteriores ou iguais a 1.0.7, você está vulnerável a essa falha.
Atualize o plugin WPBookit para a versão mais recente, que corrige a vulnerabilidade. Considere usar um WAF como medida adicional.
Atualmente, não há relatos de exploração ativa, mas a facilidade de execução do ataque sugere um risco moderado.
Verifique o site oficial do WPBookit ou o repositório do WordPress para obter o aviso de segurança e as instruções de atualização.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.