Una nuova vulnerabilità critica non corretta minaccia oltre 100.000 siti WordPress che utilizzano il plugin TI WooCommerce Wishlist. La falla consente ad attaccanti non autenticati di caricare file arbitrari e potenzialmente eseguire codice maligno sul server.
Dettagli della Vulnerabilità
Scoperta dai ricercatori di Patchstack, la vulnerabilità — tracciata come CVE-2025-47577 con un punteggio CVSS di 10.0 — colpisce tutte le versioni del plugin fino alla 2.9.2 inclusa, rilasciata il 29 novembre 2024. Al momento non è disponibile alcuna patch ufficiale.
Il problema risiede nella funzione tinvwl_upload_file_wc_fields_factory, che sfrutta la funzione nativa di WordPress wp_handle_upload, disabilitando i parametri di sicurezza test_form e test_type. Questo permette di bypassare il controllo del tipo di file, aprendo la porta al caricamento di script dannosi, come file PHP per l’esecuzione di codice remoto (RCE).
Nota: L’exploit è possibile solo se il plugin WC Fields Factory è attivo e integrato con TI WooCommerce Wishlist.
Cosa può fare un Attaccante?
- Caricare un file
.phpcontenente codice maligno - Accedere al file direttamente dal browser
- Eseguire comandi sul server compromesso
Cosa Fare Subito
In assenza di una patch, gli sviluppatori consigliano:
- Disattivare e rimuovere immediatamente il plugin TI WooCommerce Wishlist
- Verificare eventuali file caricati sul server in modo anomalo
- Evita di usare
test_type => falseinwp_handle_upload()se sviluppi plugin custom
Alternative Sicure per la Wishlist
Se hai bisogno di funzionalità simili per il tuo e-commerce, contattami per alternative sicure e compatibili con WooCommerce:
Proteggi il tuo Sito WordPress Oggi Stesso!
Non rischiare la sicurezza del tuo e-commerce!
TI WooCommerce Wishlist è attualmente vulnerabile e non esiste una patch disponibile.
Agisci subito: disattiva il plugin e scegli un’alternativa sicura e aggiornata.
Proteggi i tuoi dati, la fiducia dei clienti e il tuo business.
Scegli solo plugin certificati e regolarmente aggiornati.