Los investigadores de seguridad cibernética han revelado una falta de seguridad sin parches crítica que impacta el complemento de la tira de deseos de WooCommerce para WordPress que podrían ser explotados por atacantes no autenticados para cargar archivos arbitrarios.
TI WooCommerce Wishlist, que tiene más de 100,000 instalaciones activas, es una útil para permitir que los clientes del sitio de comercio electrónico guarden sus productos favoritos para más delante y compartan las listas en las plataformas de redes sociales.
“El complemento es pasivo a una vulnerabilidad arbitraria de carga de archivos que permite a los atacantes cargar archivos maliciosos al servidor sin autenticación”, dijo el investigador de Patchstack, John Castro.
Seguimiento como CVE-2025-47577, la vulnerabilidad conlleva una puntuación CVSS de 10.0. Afecta todas las versiones del complemento a continuación e incluyendo 2.9.2 decidido el 29 de noviembre de 2024. Actualmente no hay un parche acondicionado.
La compañía de seguridad del sitio web dijo que el problema se encuentra en una función emplazamiento “tinvwl_upload_file_wc_fields_factory,” que, a su vez, usa otra función nativa de WordPress “wp_handle_upload” para realizar la moral, pero establece los parámetros de anulación “test_form” y “test_type” a “infiel”.
La anulación de “test_type” se usa para corroborar si el tipo de extensión de correo de Internet multipropósito (MIME) del archivo es el esperado, mientras que “test_form” es corroborar para corroborar si el parámetro $ _post (‘Action’) es el esperado.
Al configurar “test_type” en infiel, permite que la moral del tipo de archivo se omita de guisa efectiva, lo que permite cargar cualquier tipo de archivo.
Dicho esto, se puede aceptar a la función pasivo a través de tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, que solo están disponibles cuando el complemento de manufactura de campos WC está activo.
Esto además significa que la explotación exitosa solo es posible si el complemento de manufactura WC Fields se instala y se activa en el sitio de WordPress y la integración está habilitada en el complemento de la tira de deseos de TI WooCommerce.
En un decorado de ataque hipotético, un actor de amenaza podría cargar un archivo PHP taimado y conquistar la ejecución de código remoto (RCE) accediendo directamente al archivo cargado.
Los desarrolladores de complementos se recomiendan para eliminar o evitar configurar ‘test_type’ => false cuando se usa wp_handle_upload (). En partida de un parche, se insta a los usuarios del complemento a desactivarlo y eliminarlo de sus sitios.
