概述
CVE-2025-12633是一个影响WordPress预约预订插件Bookit的高危漏洞,CVSS评分为7.5分。
漏洞描述
WordPress的Booking Calendar | Appointment Booking | Bookit插件在2.5.0及以下所有版本中,由于对/wp-json/bookit/v1/commerce/stripe/return REST API端点缺少能力检查,存在未经授权数据修改的漏洞。这使得未经身份验证的攻击者能够连接自己的Stripe账户并接收支付款项。
漏洞详情
- 发布日期:2025年11月12日
- 最后修改:2025年11月12日
- 远程利用:是
- 漏洞来源:security@wordfence.com
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | security@wordfence.com | |
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | MITRE-CVE |
解决方案
- 将Booking Calendar插件更新到最新版本
- 更新后验证Stripe连接设置
- 监控支付日志中的可疑活动
相关参考
- https://plugins.trac.wordpress.org/changeset/3393159/bookit/tags/2.5.1/src/Bookit/Gateways/StripeConnect/REST/Return_Endpoint.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/2263d356-b2ed-4e16-98ee-b01d4274d1d9
CWE分类
CWE-862:缺少授权
攻击模式
CAPEC-665:利用Thunderbolt保护缺陷
漏洞时间线
- 2025年11月12日:收到来自security@wordfence.com的新CVE报告