WordPressで予約・予定管理を行うプラグイン「Booking Calendar | Appointment Booking | Bookit」のバージョン 2.5.0 までの全てのバージョンで、セキュリティ脆弱性が発見されました。
この脆弱性により、攻撃者が認証なしでStripe決済の接続先を不正に変更し、予約時の決済金を攻撃者のアカウントに送金させることが可能です。対策バージョン 2.5.1 以降への更新を推奨します。
想定される事象
想定される被害
この脆弱性により、以下のような被害が想定されます。
- 決済金の不正な横取り
- 予約時の顧客からの決済金が、攻撃者のStripeアカウントに送金される
- サイト運営者は本来受け取るべき売上を受け取れなくなる
- 決済履歴から被害の発覚まで時間がかかる可能性がある
- 被害発生の条件
- サイトがBookitプラグインでStripe決済を使用している
- 攻撃者が特定のREST APIエンドポイントにアクセスする
- 認証やログインは不要(誰でも実行可能)
技術的な詳細
この脆弱性は、以下の問題に起因します。
- REST APIエンドポイントの認証チェック欠如
- Stripe接続情報を設定するREST APIエンドポイントに、アクセス権限の確認が実装されていなかった
- 本来は管理者権限を持つユーザーのみがアクセスできるべき操作だが、認証なしで誰でも実行できる状態だった
- 攻撃者が外部から不正なStripe接続情報を送信すると、そのまま保存・有効化されてしまう
- 攻撃の実行条件
- 認証やログインは不要
- 特定のURLに〈省略〉のパラメータを付けてアクセスするだけで実行可能
脆弱性の種類
推奨対応事項
該当バージョンのプラグインをご利用の場合、以下の対応を強く推奨します。
- プラグインの更新
- 速やかに、プラグインを対策バージョン(2.5.1以降)に更新
- 被害確認
- Stripe接続情報が正しい自社アカウントであることを確認
- 予期期しない接続先変更が確認された場合、正しいStripeアカウントに再接続
- Stripeダッシュボードで、予約・決済の入金先が正しいアカウントになっているか確認
- ログ確認(該当する場合)
- Webサーバーのアクセスログで「
/wp-json/bookit/v1/commerce/stripe/return」へのアクセス履歴を確認 - 特に管理者以外からのアクセスや、不審な時間帯のアクセスがないかチェック
- Webサーバーのアクセスログで「
⇒不審なStripe接続変更や売上の欠損が確認された場合は、WordPressの専門家やStripeサポートへの相談をお勧めします。
影響を受けるバージョン
Booking Calendar | Appointment Booking | Bookit 2.5.0 までのバージョン
脆弱性情報 (CVE-ID)
CVE-2025-12633 
(公開日 2025年11月12日 更新日 2025年11月14日)
脆弱性の深刻度 (CVSS v3)
基本値: 7.5 (重大) [Wordfence]
脆弱性脅威度(EPSS)
CVE-2025-12633 悪用確率 0.05% (上位89%) 2025年11月18日時点
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
Copyright 1999-2024 The MITRE Corporation
License: CVE Usage: MITRE hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute Common Vulnerabilities and Exposures (CVE®). Any copy you make for such purposes is authorized provided that you reproduce MITRE’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
Booking Calendar | Appointment Booking | Bookit プラグインをご利用のお客様へは、「対策バージョンへの更新状況と推奨対応事項」メールを順次ご案内しております。
