Pesquisadores de cibersegurança divulgaram uma falha de segurança crítica não corrigida que afeta o plugin TI WooCommerce Wishlist para WordPress, a qual pode ser explorada por atacantes não autenticados para fazer upload de arquivos arbitrários.
O TI WooCommerce Wishlist, que possui mais de 100.000 instalações ativas, é uma ferramenta que permite aos clientes de sites de e-commerce salvar seus produtos favoritos para mais tarde e compartilhar as listas em plataformas de mídia social.
"O plugin é vulnerável a uma vulnerabilidade de upload de arquivo arbitrário que permite aos atacantes fazerem upload de arquivos maliciosos no servidor sem autenticação," disse John Castro, pesquisador da Patchstack.
Rastreada como
CVE-2025-47577
, a vulnerabilidade tem uma pontuação CVSS de 10.0.
Afeta todas as versões do plugin até e incluindo a 2.9.2 lançada em 29 de novembro de 2024.
Atualmente, não existe um patch disponível.
A empresa de segurança de websites disse que o problema está em uma função chamada "tinvwl_upload_file_wc_fields_factory", que, por sua vez, usa outra função nativa do WordPress "wp_handle_upload" para realizar a validação, mas define os parâmetros de substituição "test_form" e "test_type" como "false."
A substituição "test_type" é usada para verificar se o tipo Multipurpose Internet Mail Extension (MIME) do arquivo é como esperado, enquanto "test_form" verifica se o parâmetro $_POST['action'] é como esperado.
Ao definir "test_type" como false, permite que a validação do tipo de arquivo seja efetivamente contornada, permitindo assim que qualquer tipo de arquivo seja feito upload.
Dito isso, a função vulnerável é acessível via tinvwl_meta_wc_fields_factory ou tinvwl_cart_meta_wc_fields_factory, que estão disponíveis apenas quando o plugin WC Fields Factory está ativo.
Isso também significa que a exploração bem-sucedida só é possível se o plugin WC Fields Factory estiver instalado e ativado no site WordPress e a integração estiver habilitada no plugin TI WooCommerce Wishlist.
Em um cenário hipotético de ataque, um ator de ameaças poderia fazer upload de um arquivo PHP malicioso e alcançar execução remota de código (RCE) acessando diretamente o arquivo enviado.
Recomenda-se aos desenvolvedores do plugin que removam ou evitem definir 'test_type' => false ao usar wp_handle_upload().
Na ausência de um patch, urge-se que os usuários do plugin o desativem e excluam de seus sites.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...