CVE-2026-5513: XSS-sårbarhed i WordPress Bookly
WordPress-plugin Bookly (op til v27.2) har en sårbarhed, der lader angribere plante skadelig kode på din hjemmeside via en cookie.
Hvad er det?
Bookly er et populært WordPress-plugin til online booking og tidsbestilling. I version 27.2 og tidligere er der fundet en sårbarhed kaldet Stored Cross-Site Scripting (XSS) — det betyder, at en angriber kan gemme ondsindet kode direkte på din hjemmeside.
Angrebet sker via en cookie (en lille tekstfil browseren gemmer) kaldet bookly-customer-full-name. Hvis din Bookly-installation har indstillingen ‘Husk personlige oplysninger i cookies’ slået til, kan angriberen sende en manipuleret cookie, som bliver gemt og efterfølgende kørt som kode i andre brugeres browsere.
Hvem rammer det?
Sårbarheden rammer WordPress-hjemmesider, der bruger Bookly-pluginnet i version 27.2 eller tidligere, og hvor indstillingen ‘Husk personlige oplysninger i cookies’ er slået til. Denne indstilling er som standard slået fra, så hvis du aldrig har ændret den, er du sandsynligvis ikke sårbar. Typiske brancher der bruger Bookly inkluderer:
- Klinikker, frisører og wellnesscentre
- Konsulenter og coaches med online tidsbestilling
- Fitnesscentre og undervisere
- Alle andre SMV’er med WordPress-baseret bookingsystem
Hvad kan ske?
Hvis en angriber udnytter sårbarheden, kan de plante kode på din hjemmeside, som automatisk kører i dine kunders browsere. Det kan føre til:
- Datatyveri: Angriberen kan stjæle dine kunders loginoplysninger eller session-cookies (adgangsnøgler til din hjemmeside)
- Omdirigering: Kunder kan sendes videre til falske eller skadelige hjemmesider uden at vide det
- Phishing: Der kan vises falske formularer på din side, der narrer kunder til at afgive følsomme oplysninger
- Omdømmeskade: Din hjemmeside kan bruges til at sprede skadelig kode til dine kunder
Angriberen behøver ingen konto på din hjemmeside for at forsøge angrebet.
Hvor alvorligt er det?
Sårbarheden er vurderet til 7.2 ud af 10 (Alvorlig) af det internationale CVSS-system. Det er alvorligt af flere grunde:
- Angrebet kan udføres af hvem som helst uden login eller særlige forudsætninger
- Det kræver ingen handling fra dig som administrator — det er dine besøgende, der rammes
- Koden gemmes på din server og rammer alle, der besøger de berørte sider
Det mildnende element er, at standardindstillingen i Bookly har den sårbare funktion slået fra. Hvis du ikke aktivt har slået ‘Husk personlige oplysninger i cookies’ til, er risikoen væsentligt lavere.
Hvad gør jeg nu?
Følg disse trin for at beskytte din hjemmeside:
- Tjek din Bookly-version: Log ind på dit WordPress-dashboard, gå til ‘Plugins’ og find Bookly. Notér versionsnummeret.
- Opdatér Bookly straks: Hvis du kører version 27.2 eller tidligere, skal du opdatere til seneste version via ‘Plugins → Tilgængelige opdateringer’.
- Tjek den sårbare indstilling: Gå ind i Bookly’s indstillinger og find ‘Husk personlige oplysninger i cookies’. Slå denne indstilling fra, hvis den er aktiveret — med mindre du har et konkret behov for den.
- Tjek dine logfiler: Gennemgå adgangslogfiler for mistænkelig aktivitet, særligt ukendte cookie-værdier med HTML- eller JavaScript-tegn (f.eks. <script>).
- Hold øje med dit website: Kig efter uventede omdirigeringer, mærkelige pop-ups eller klager fra kunder om din hjemmeside de næste par dage.
Opdatér inden for 48 timer
Opdatér Bookly til seneste version så hurtigt som muligt — det er den vigtigste handling. Slå samtidig indstillingen ‘Husk personlige oplysninger i cookies’ fra, medmindre du har et konkret behov for den. Har du ikke ressourcer til selv at håndtere opdateringen, så kontakt din webmaster eller IT-leverandør i dag. En ikke-opdateret hjemmeside kan skade både dine kunder og dit omdømme.
Tidslinje
Konkrete eksempler
Angriber planter kode via bookingformular
En angriber besøger din bookingside og udfylder formularen med et navn, der indeholder skjult JavaScript-kode i stedet for et rigtigt navn. Fordi Bookly gemmer denne oplysning i en cookie uden at tjekke indholdet, bliver koden gemt på din server. Næste gang din medarbejder eller en kunde åbner siden med bookingoplysningerne, kører koden automatisk i deres browser og sender deres loginoplysninger videre til angriberen.
Falsk betalingsformular vises for kunder
En angriber injicerer kode, der viser en falsk betalingsformular på din bookingbekræftelsesside. Kunder, der netop har bestilt en tid, tror de betaler for ydelsen, men indtaster i virkeligheden deres kortoplysninger direkte til angriberen. Du opdager først problemet, når kunderne klager over at have betalt uden at modtage en bekræftelse fra din rigtige betalingsudbyder.
Omdirigering til phishing-side
Den injicerede kode omdirigerer automatisk besøgende fra din hjemmeside til en side, der ligner din — men som kontrolleres af angriberen. Kunder udfylder deres personoplysninger i god tro, mens angriberen opsamler data som navne, e-mailadresser og telefonnumre. Dette kan udgøre et brud på GDPR, som du som virksomhedsejer kan blive ansvarlig for.
Ofte stillede spørgsmål
Er jeg sårbar, hvis jeg ikke har ændret noget i Bookly's indstillinger?
Sandsynligvis ikke. Den sårbare funktion — ‘Husk personlige oplysninger i cookies’ — er slået fra som standard i Bookly. Hvis du aldrig aktivt har slået denne indstilling til, er din risiko væsentligt reduceret. Du bør dog stadig opdatere pluginnet for en sikkerheds skyld.
Kan jeg se, om min hjemmeside allerede er blevet angrebet?
Du kan tjekke din hjemmesides adgangslogfiler (access logs) for mistænkelige cookie-værdier med HTML- eller JavaScript-kode, f.eks. indhold med
<script>-tags. Din webhost eller IT-leverandør kan hjælpe dig med at gennemgå disse logfiler. Du kan også bruge et sikkerhedsplugin som Wordfence til at scanne din WordPress-installation for ondsindet kode.Behøver angriberen en konto på min hjemmeside for at angribe?
Nej. Det er netop det, der gør denne sårbarhed alvorlig. Angrebet kan udføres af en fuldstændig ukendt person uden nogen form for login. Angriberen sender blot en manipuleret forespørgsel til din bookingformular.
Hvad er Cross-Site Scripting (XSS)?
Cross-Site Scripting (XSS) er en type angreb, hvor en angriber gemmer ondsindet kode (typisk JavaScript) på en hjemmeside. Når andre brugere besøger siden, kører koden automatisk i deres browser — uden at de ved det. Koden kan blandt andet stjæle loginoplysninger, vise falske formularer eller omdirigere brugere til farlige hjemmesider.
Påvirker det kun gratis versionen af Bookly?
CVE’en er beskrevet i relation til Bookly-pluginnet op til og med version 27.2. Både gratis og eventuelle Pro-versioner bør opdateres. Tjek under alle omstændigheder, at du kører den seneste tilgængelige version, uanset hvilken udgave du bruger.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Online Scheduling and Appointment Booking System – Bookly plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘bookly-customer-full-name’ cookie in versions up to, and including, 27.2 due to insufficient input sanitization and output escaping. This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. Exploitation requires ‘Remember personal information in cookies’ setting to be enabled (disabled by default).
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
