Аналітики Patchstack виявили критичну вразливість у плагіні TI WooCommerce Wishlist для WordPress. Проблему поки що не усунуто і її можуть використовувати зловмисники для завантаження довільних файлів.

TI WooCommerce Wishlist налічує понад 100 000 активних установок. Плагін дає змогу клієнтам інтернет-магазинів зберігати вподобані товари для подальшої купівлі та ділитися такими списками з іншими користувачами в соціальних мережах.

«Плагін вразливий перед довільним завантаженням файлів, що дає змогу неаутентифікованим зловмисникам завантажувати шкідливі файли на сервер», – попереджають у Patchstack.

Уразливість отримала ідентифікатор CVE-2025-47577 і отримала максимальні 10 балів із 10 можливих за шкалою CVSS. Проблема зачіпає всі версії плагіна нижче і включно з 2.9.2 від 29 листопада 2024 року.

Як пояснили фахівці, корінь проблеми криється у функції tinvwl_upload_file_wc_fields_factory, яка, своєю чергою, використовує іншу вбудовану функцію WordPress wp_handle_upload для виконання валідації, але встановлює override-параметри test_form і test_type у значення false.

Зазначається, що вразлива функція доступна через tinvwl_meta_wc_fields_factory і tinvwl_cart_meta_wc_fields_factory лише за умови активного на сайті плагіна WC Fields Factory. Це означає, що успішна експлуатація бага можлива тільки в тому разі, якщо плагін WC Fields Factory активний на сайті під управлінням WordPress, а також у плагіні TI WooCommerce Wishlist увімкнено інтеграцію.

У разі атаки зловмисник має можливість завантажити шкідливий PHP-файл і виконати віддалене виконання коду, безпосередньо звертаючись до цього завантаженого файлу.

Оскільки патча поки немає, користувачам плагіна настійно рекомендується деактивувати або видалити зі своїх сайтів.