平台
wordpress
组件
wpbookit
修复版本
1.0.8
CVE-2025-12685 是 WPBookit WordPress 插件中发现的一个跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过 CSRF 攻击删除任何客户数据。该漏洞影响 WPBookit 插件版本小于或等于 1.0.7 的安装。建议用户尽快更新插件以修复此安全问题。
攻击者可以利用此 CSRF 漏洞,无需身份验证即可删除 WPBookit 插件中存储的任何客户信息。这可能导致数据丢失、服务中断,并可能对插件用户造成声誉损害。攻击者可以通过诱骗用户访问恶意链接或提交包含恶意请求的表单来触发此漏洞。由于该漏洞无需身份验证,因此攻击范围广泛,潜在影响巨大。攻击者可以利用此漏洞进行大规模的客户数据删除,从而对 WordPress 网站造成严重破坏。
该漏洞已公开披露,存在潜在的被利用风险。目前尚未观察到大规模的利用活动,但由于漏洞易于利用且无需身份验证,因此攻击者可能会积极寻找并利用此漏洞。建议密切监控 WordPress 网站的安全日志,并及时响应任何可疑活动。该漏洞尚未被添加到 CISA KEV 目录。
Websites utilizing the WPBookit WordPress plugin, particularly those with sensitive customer data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites with weak access controls or a lack of CSRF protection on other critical functionalities are also more vulnerable.
• wordpress / composer / npm:
grep -r 'wp_bookit_delete_customer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-bookit• wordpress / composer / npm:
wp plugin update wp-bookitdisclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CVSS 向量
最有效的缓解措施是立即将 WPBookit 插件更新到最新版本,该版本已修复此漏洞。如果无法立即更新,可以考虑以下临时缓解措施:实施严格的 CSRF 令牌验证机制,确保所有客户删除请求都经过验证。使用 WordPress 插件防火墙 (WAF) 或安全插件,以检测和阻止潜在的 CSRF 攻击。限制对插件的管理访问权限,只允许授权用户进行客户删除操作。在更新后,请验证插件功能是否正常,确认漏洞已成功修复。
目前没有已知的补丁。请深入审查该漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-12685 是 WPBookit WordPress 插件版本小于或等于 1.0.7 中发现的一个跨站请求伪造 (CSRF) 漏洞,攻击者可以利用此漏洞删除任何客户数据。
如果您正在使用 WPBookit 插件版本小于或等于 1.0.7,则您可能受到此漏洞的影响。请立即更新插件。
最有效的修复方法是立即将 WPBookit 插件更新到最新版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞易于利用,因此存在潜在的被利用风险。
请访问 WPBookit 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。