Pesquisadores de cibersegurança divulgaram uma falha de segurança crítica não corrigida que afeta o plugin TI WooCommerce Wishlist para WordPress, a qual pode ser explorada por atacantes não autenticados para fazer upload de arquivos arbitrários.
O TI WooCommerce Wishlist, que possui mais de 100.000 instalações ativas, é uma ferramenta que permite aos clientes de sites de e-commerce salvar seus produtos favoritos para mais tarde e compartilhar as listas em plataformas de mídia social.
"O plugin é vulnerável a uma vulnerabilidade de upload de arquivo arbitrário que permite aos atacantes fazerem upload de arquivos maliciosos no servidor sem autenticação," disse John Castro, pesquisador da Patchstack.
Rastreada como
CVE-2025-47577
, a vulnerabilidade tem uma pontuação CVSS de 10.0.
Afeta todas as versões do plugin até e incluindo a 2.9.2 lançada em 29 de novembro de 2024.
Atualmente, não existe um patch disponível.
A empresa de segurança de websites disse que o problema está em uma função chamada "tinvwl_upload_file_wc_fields_factory", que, por sua vez, usa outra função nativa do WordPress "wp_handle_upload" para realizar a validação, mas define os parâmetros de substituição "test_form" e "test_type" como "false."
A substituição "test_type" é usada para verificar se o tipo Multipurpose Internet Mail Extension (MIME) do arquivo é como esperado, enquanto "test_form" verifica se o parâmetro $_POST['action'] é como esperado.
Ao definir "test_type" como false, permite que a validação do tipo de arquivo seja efetivamente contornada, permitindo assim que qualquer tipo de arquivo seja feito upload.
Dito isso, a função vulnerável é acessível via tinvwl_meta_wc_fields_factory ou tinvwl_cart_meta_wc_fields_factory, que estão disponíveis apenas quando o plugin WC Fields Factory está ativo.
Isso também significa que a exploração bem-sucedida só é possível se o plugin WC Fields Factory estiver instalado e ativado no site WordPress e a integração estiver habilitada no plugin TI WooCommerce Wishlist.
Em um cenário hipotético de ataque, um ator de ameaças poderia fazer upload de um arquivo PHP malicioso e alcançar execução remota de código (RCE) acessando diretamente o arquivo enviado.
Recomenda-se aos desenvolvedores do plugin que removam ou evitem definir 'test_type' => false ao usar wp_handle_upload().
Na ausência de um patch, urge-se que os usuários do plugin o desativem e excluam de seus sites.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...