Критическая уязвимость выявлена экспертами из Patchstack в безопасности плагина TI WooCommerce Wishlist для WordPress. Эта недоработка представляет опасность, так как позволяет злоумышленникам загружать любые файлы на сервер. Обновление, устраняющее уязвимость, пока отсутствует.
Популярный плагин TI WooCommerce Wishlist установлен более чем на 100 000 сайтов. Он помогает покупателям сохранять понравившиеся товары в список желаний для последующей покупки и делиться этими списками в социальных сетях.
“Критическая уязвимость позволяет неавторизованным лицам загружать вредоносные файлы, ставя под угрозу безопасность сайта”, – сообщают в Patchstack.
Уязвимости присвоен идентификатор CVE-2025-47577 и максимальная оценка 10 баллов по шкале CVSS. Проблема присутствует во всех версиях плагина до 2.9.2, выпущенной 29 ноября 2024 года, включительно.
Критическая уязвимость кроется в функции tinvwl_upload_file_wc_fields_factory. Она использует wp_handle_upload для проверки загружаемых файлов, но отключает важные проверки, устанавливая параметры test_form и test_type в значение false.
Эти параметры отвечают за проверку типа файла и действия пользователя. Отключение test_type позволяет загружать файлы с любым расширением.
Функция доступна через tinvwl_meta_wc_fields_factory и tinvwl_cart_meta_wc_fields_factory, только если активен плагин WC Fields Factory и включена интеграция в TI WooCommerce Wishlist.
Злоумышленник может загрузить PHP-файл и выполнить произвольный код на сервере, получив полный контроль над сайтом.
Ввиду отсутствия патча, пользователям рекомендуется временно отключить или удалить плагин TI WooCommerce Wishlist со своих сайтов WordPress.
Справочно:
Критическая уязвимость — это слабое место в системе, которое создаёт потенциальную угрозу безопасности. Такие уязвимости активно используются злоумышленниками для атак на операционные системы и получения несанкционированного доступа к конфиденциальной информации.