Аналитики
обнаружили критическую уязвимость в плагине TI WooCommerce Wishlist для WordPress.
Проблема пока не устранена и может использоваться злоумышленниками для загрузки произвольных файлов.
TI WooCommerce Wishlist насчитывает активных установок. Плагин позволяет клиентам интернет-магазинов сохранять понравившиеся товары для последующей покупки и делиться такими списками с другими пользователями в социальных сетях.
Уязвимость получила идентификатор CVE-2025-47577 и получила максимальные 10 баллов из 10 возможных по шкале CVSS. Проблема затрагивает все версии плагина ниже и включая 2.9.2 от 29 ноября 2024 года.
Как объяснили специалисты, корень проблемы кроется в функции tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую встроенную функцию WordPress wp_handle_upload для выполнения валидации, но устанавливает override-параметры test_form и test_type в значение false.
Параметр test_type используется для проверки соответствия типа файла Multipurpose Internet Mail Extension (MIME) ожидаемому, а test_form — для проверки соответствия параметра $_POST['action'] ожидаемому.
В результате установка test_type в значение false позволяет обойти проверку типа файла, тем самым позволяя загружать файлы любых типов.
Отмечается, что уязвимая функция доступна через tinvwl_meta_wc_fields_factory и tinvwl_cart_meta_wc_fields_factory только при активном на сайте плагине WC Fields Factory. Это означает, что успешная эксплуатация бага возможна только в том случае, если плагин WC Fields Factory активен на сайте под управлением WordPress, а также в плагине TI WooCommerce Wishlist включена интеграция.
В случае атаки злоумышленник имеет возможность загрузить вредоносный PHP-файл и выполнить удаленное выполнение кода, напрямую обращаясь к этому загруженному файлу.
Поскольку патча пока нет, пользователям плагина настоятельно рекомендуется деактивировать или удалить со своих сайтов.
Проблема пока не устранена и может использоваться злоумышленниками для загрузки произвольных файлов.
TI WooCommerce Wishlist насчитывает активных установок. Плагин позволяет клиентам интернет-магазинов сохранять понравившиеся товары для последующей покупки и делиться такими списками с другими пользователями в социальных сетях.
Уязвимость получила идентификатор CVE-2025-47577 и получила максимальные 10 баллов из 10 возможных по шкале CVSS. Проблема затрагивает все версии плагина ниже и включая 2.9.2 от 29 ноября 2024 года.
Как объяснили специалисты, корень проблемы кроется в функции tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую встроенную функцию WordPress wp_handle_upload для выполнения валидации, но устанавливает override-параметры test_form и test_type в значение false.
Параметр test_type используется для проверки соответствия типа файла Multipurpose Internet Mail Extension (MIME) ожидаемому, а test_form — для проверки соответствия параметра $_POST['action'] ожидаемому.
В результате установка test_type в значение false позволяет обойти проверку типа файла, тем самым позволяя загружать файлы любых типов.
Отмечается, что уязвимая функция доступна через tinvwl_meta_wc_fields_factory и tinvwl_cart_meta_wc_fields_factory только при активном на сайте плагине WC Fields Factory. Это означает, что успешная эксплуатация бага возможна только в том случае, если плагин WC Fields Factory активен на сайте под управлением WordPress, а также в плагине TI WooCommerce Wishlist включена интеграция.
В случае атаки злоумышленник имеет возможность загрузить вредоносный PHP-файл и выполнить удаленное выполнение кода, напрямую обращаясь к этому загруженному файлу.
Поскольку патча пока нет, пользователям плагина настоятельно рекомендуется деактивировать или удалить со своих сайтов.
