平台
wordpress
组件
booktics
修复版本
1.0.17
CVE-2026-1920描述了Booktics – Booking Calendar for Appointments and Service Businesses WordPress插件中的一个数据篡改漏洞。该漏洞允许未经身份验证的攻击者安装附加插件,从而可能导致恶意代码注入和系统控制。该漏洞影响到Booktics插件1.0.0到1.0.16版本。建议用户尽快升级到1.0.17版本以修复此安全问题。
攻击者可以利用此漏洞在Booktics插件中安装恶意插件,从而获得对WordPress网站的控制权。这可能导致敏感数据泄露、网站篡改、恶意软件传播以及其他严重的安全事件。攻击者可以利用安装的插件执行任意代码,并可能进一步渗透到整个WordPress环境中。由于插件通常具有较高的权限,因此该漏洞的潜在影响非常大,可能影响网站的完整性和可用性。
目前尚未公开发现针对此漏洞的公开利用代码(PoC)。CISA尚未将其添加到KEV目录。该漏洞的公开披露日期为2026年3月10日。由于缺乏公开利用代码,当前利用此漏洞的可能性较低,但仍应尽快修复。
Websites utilizing the Booktics plugin for appointment scheduling and service businesses are at risk. Specifically, sites running older versions (1.0.0–1.0.16) are vulnerable. Shared hosting environments where plugin updates are managed centrally are particularly susceptible, as they may not have immediate control over plugin versions.
• wordpress / composer / npm:
wp plugin list | grep Booktics• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
wp plugin status Booktics• wordpress / composer / npm:
wp option get booktics_versiondisclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Booktics插件升级到1.0.17版本或更高版本。如果升级会破坏现有功能,可以考虑暂时禁用Booktics插件,或者回滚到之前的版本(如果可用)。此外,建议实施严格的WordPress用户权限管理,确保只有授权用户才能安装插件。监控插件安装活动,并定期审查已安装插件的安全性。使用WordPress安全插件可以帮助检测和阻止未经授权的插件安装。
更新至 1.0.17 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-1920描述了Booktics WordPress插件中由于缺少权限检查而导致的数据篡改漏洞,允许未经身份验证的攻击者安装插件。
如果您正在使用Booktics插件的版本1.0.0到1.0.16,则您可能受到此漏洞的影响。
请立即将Booktics插件升级到1.0.17版本或更高版本。
目前尚未公开发现针对此漏洞的公开利用代码,但仍应尽快修复。
请访问Booktics官方网站或WordPress插件目录,查找有关CVE-2026-1920的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。