Los investigadores de seguridad cibernética han revelado una descompostura de seguridad sin parches crítica que impacta el complemento de la nómina de deseos de WooCommerce para WordPress que podrían ser explotados por atacantes no autenticados para cargar archivos arbitrarios.
TI WooCommerce Wishlist, que tiene más de 100,000 instalaciones activas, es una utensilio para permitir que los clientes del sitio de comercio electrónico guarden sus productos favoritos para más delante y compartan las listas en las plataformas de redes sociales.
«El complemento es inerme a una vulnerabilidad arbitraria de carga de archivos que permite a los atacantes cargar archivos maliciosos al servidor sin autenticación», dijo el investigador de Patchstack, John Castro.
Seguimiento como CVE-2025-47577, la vulnerabilidad conlleva una puntuación CVSS de 10.0. Afecta todas las versiones del complemento a continuación e incluyendo 2.9.2 resuelto el 29 de noviembre de 2024. Actualmente no hay un parche arreglado.
La compañía de seguridad del sitio web dijo que el problema se encuentra en una función emplazamiento «tinvwl_upload_file_wc_fields_factory,» que, a su vez, usa otra función nativa de WordPress «wp_handle_upload» para realizar la acometividad, pero establece los parámetros de anulación «test_form» y «test_type» a «fariseo».
La anulación de «test_type» se usa para efectuar si el tipo de extensión de correo de Internet multipropósito (MIME) del archivo es el esperado, mientras que «test_form» es efectuar para efectuar si el parámetro $ _post (‘Action’) es el esperado.
Al configurar «test_type» en fariseo, permite que la acometividad del tipo de archivo se omita de forma efectiva, lo que permite cargar cualquier tipo de archivo.
Dicho esto, se puede lograr a la función inerme a través de tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, que solo están disponibles cuando el complemento de industria de campos WC está activo.
Esto incluso significa que la explotación exitosa solo es posible si el complemento de industria WC Fields se instala y se activa en el sitio de WordPress y la integración está habilitada en el complemento de la nómina de deseos de TI WooCommerce.
En un atmósfera de ataque hipotético, un actor de amenaza podría cargar un archivo PHP malvado y conquistar la ejecución de código remoto (RCE) accediendo directamente al archivo cargado.
Los desarrolladores de complementos se recomiendan para eliminar o evitar configurar ‘test_type’ => false cuando se usa wp_handle_upload (). En abandono de un parche, se insta a los usuarios del complemento a desactivarlo y eliminarlo de sus sitios.
