Plataforma
wordpress
Componente
appointify
Corrigido em
1.0.9
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no plugin Appointify para WordPress. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, potencialmente comprometendo dados e funcionalidades do sistema. A vulnerabilidade afeta versões do plugin Appointify de 0.0.0 até 1.0.8. A correção está disponível em versões posteriores do plugin.
A exploração bem-sucedida desta vulnerabilidade CSRF pode permitir que um atacante realize diversas ações maliciosas, como criar, modificar ou excluir agendamentos, alterar configurações do plugin ou até mesmo obter acesso a informações sensíveis do usuário. O impacto pode variar dependendo das permissões do usuário atacado, mas em cenários onde o usuário possui privilégios administrativos, o atacante pode obter controle total sobre o site WordPress. A falta de proteção CSRF expõe o site a ataques onde um usuário é enganado para executar ações indesejadas sem o seu conhecimento, como clicar em um link malicioso ou visitar um site comprometido.
A vulnerabilidade foi divulgada em 31 de dezembro de 2025. Não há indícios de exploração ativa em campanhas direcionadas, mas a natureza de CSRF torna a vulnerabilidade passível de exploração por atacantes oportunistas. Não está listada no KEV da CISA. A ausência de um Proof of Concept (PoC) público não diminui a necessidade de mitigação, pois a exploração de CSRF é relativamente simples.
Websites utilizing the Appointify WordPress plugin in versions 0.0.0 through 1.0.8 are at risk. This includes businesses and organizations relying on Appointify for appointment scheduling and management. Shared hosting environments are particularly vulnerable as a single compromised account could impact multiple websites.
• wordpress / composer / npm:
grep -r 'appointify/appointify' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep appointify• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/appointify/appointify.php | grep -i 'server' # Check for unusual server headersdisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin Appointify para a versão mais recente, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de proteção adicionais, como a validação de tokens CSRF em todas as requisições críticas. Implementar uma política de segurança de conteúdo (CSP) pode ajudar a mitigar o risco, restringindo as fontes de onde o navegador pode carregar recursos. Além disso, monitore os logs do WordPress em busca de atividades suspeitas, como requisições não autorizadas.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e utilize mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59130 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no plugin Appointify para WordPress, permitindo que atacantes executem ações não autorizadas.
Sim, se você estiver usando o plugin Appointify nas versões de 0.0.0 até 1.0.8, você está afetado por esta vulnerabilidade.
A correção é atualizar o plugin Appointify para a versão mais recente. Se a atualização não for possível, implemente medidas de proteção CSRF.
Não há evidências de exploração ativa em campanhas direcionadas, mas a vulnerabilidade é passível de exploração oportunista.
Consulte o site oficial do Appointify ou o repositório do plugin no WordPress.org para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.