Специалисты по кибербезопасности компании Patchstack выявили критическую уязвимость в популярном WordPress-плагине TI WooCommerce Wishlist, установленном более чем на 100 000 сайтов. Обнаруженная проблема позволяет злоумышленникам загружать вредоносные файлы на серверы без необходимости авторизации.
Технические детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-47577 и максимальную оценку 10 баллов по шкале CVSS, затрагивает все версии плагина до 2.9.2 включительно. Проблема связана с некорректной реализацией функции tinvwl_upload_file_wc_fields_factory, которая использует встроенный механизм WordPress wp_handle_upload для валидации файлов.
Механизм эксплуатации
Критическая ошибка заключается в отключении важных параметров безопасности test_form и test_type. В частности, установка test_type в значение false полностью отключает проверку MIME-типов загружаемых файлов, что открывает возможность для загрузки файлов любого типа, включая вредоносные PHP-скрипты.
Условия для успешной атаки
Эксплуатация уязвимости возможна только при соблюдении двух условий: активном плагине WC Fields Factory на целевом сайте и включенной интеграции в TI WooCommerce Wishlist. При выполнении этих условий злоумышленник получает возможность загрузить и выполнить вредоносный код на сервере.
Рекомендации по безопасности
В связи с отсутствием патча на момент публикации, специалисты по информационной безопасности настоятельно рекомендуют администраторам сайтов немедленно деактивировать или удалить плагин TI WooCommerce Wishlist до выпуска исправления. Это единственный надежный способ защиты от потенциальной компрометации сайта.
Данная уязвимость представляет серьезную угрозу для электронной коммерции на платформе WordPress, учитывая широкое распространение плагина и критический характер уязвимости. Администраторам веб-сайтов следует регулярно проводить аудит используемых плагинов и своевременно реагировать на появление информации о новых уязвимостях.
