Los investigadores de seguridad cibernética han revelado una falla de seguridad sin parches crítica que impacta el complemento de la lista de deseos de WooCommerce para WordPress que podrían ser explotados por atacantes no autenticados para cargar archivos arbitrarios.
TI WooCommerce Wishlist, que tiene más de 100,000 instalaciones activas, es una herramienta para permitir que los clientes del sitio de comercio electrónico guarden sus productos favoritos para más adelante y compartan las listas en las plataformas de redes sociales.
«El complemento es vulnerable a una vulnerabilidad arbitraria de carga de archivos que permite a los atacantes cargar archivos maliciosos al servidor sin autenticación», dijo el investigador de Patchstack, John Castro.
Seguimiento como CVE-2025-47577, la vulnerabilidad conlleva una puntuación CVSS de 10.0. Afecta todas las versiones del complemento a continuación e incluyendo 2.9.2 lanzado el 29 de noviembre de 2024. Actualmente no hay un parche disponible.
La compañía de seguridad del sitio web dijo que el problema se encuentra en una función llamada «tinvwl_upload_file_wc_fields_factory,» que, a su vez, usa otra función nativa de WordPress «wp_handle_upload» para realizar la validación, pero establece los parámetros de anulación «test_form» y «test_type» a «falso».
La anulación de «test_type» se usa para verificar si el tipo de extensión de correo de Internet multipropósito (MIME) del archivo es el esperado, mientras que «test_form» es verificar para verificar si el parámetro $ _post (‘Action’) es el esperado.
Al configurar «test_type» en falso, permite que la validación del tipo de archivo se omita de manera efectiva, lo que permite cargar cualquier tipo de archivo.
Dicho esto, se puede acceder a la función vulnerable a través de tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, que solo están disponibles cuando el complemento de fábrica de campos WC está activo.
Esto también significa que la explotación exitosa solo es posible si el complemento de fábrica WC Fields se instala y se activa en el sitio de WordPress y la integración está habilitada en el complemento de la lista de deseos de TI WooCommerce.
En un escenario de ataque hipotético, un actor de amenaza podría cargar un archivo PHP malicioso y lograr la ejecución de código remoto (RCE) accediendo directamente al archivo cargado.
Los desarrolladores de complementos se recomiendan para eliminar o evitar configurar ‘test_type’ => false cuando se usa wp_handle_upload (). En ausencia de un parche, se insta a los usuarios del complemento a desactivar y eliminar el complemento de sus sitios.