Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress
Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE).
El problema se origina en la función tinvwl_upload_file_wc_fields_factory, que delega la carga de archivos al helper nativo wp_handle_upload(). El desarrollador deshabilita los controles de seguridad estableciendo los parámetros test_form y test_type a false; esto anula la validación del formulario y, sobre todo, del tipo MIME, dejando pasar cualquier fichero, incluidos scripts PHP. El punto de entrada se expone cuando el plugin WC Fields Factory está instalado y la integración correspondiente se encuentra activa, lo que facilita ataques automatizados que culminan en la ejecución directa del archivo malicioso en el servidor.
La vulnerabilidad afecta a todas las versiones del plugin hasta la 2.9.2 (29 de noviembre de 2024) y, a fecha de publicación, no existe parche oficial. Hasta que el proveedor emita una corrección, se recomienda desactivar y eliminar el complemento o, al menos, restringir la ejecución de archivos en la carpeta /wp-content/uploads/.
Este caso demuestra cómo la desactivación de un único control de validación puede comprometer por completo la infraestructura de un sitio WordPress y subraya la importancia de revisar con detalle las funciones de subida de archivos en cualquier desarrollo.
Más información:
- Over 100,000 WordPress Sites at Risk from Critical CVSS 10.0 Vulnerability in Wishlist Plugin https://thehackernews.com/2025/05/over-100000-wordpress-sites-at-risk.html
- Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin https://patchstack.com/articles/unpatched-critical-vulnerability-in-ti-woocommerce-wishlist-plugin/
La entrada Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress se publicó primero en Una Al Día.
Powered by WPeMatico
