Vulnerabilidade CVE-2025-47577 no plugin TI WooCommerce Wishlist permite upload arbitrário de arquivos e RCE em mais de 100 mil sites WordPress

Uma vulnerabilidade crítica e ainda não corrigida no plugin TI WooCommerce Wishlist para WordPress colocou mais de 100 mil sites em risco, permitindo que hackers não autenticados façam upload de arquivos maliciosos nos servidores. A falha, identificada como CVE-2025-47577, recebeu a pontuação máxima de 10.0 na escala CVSS, indicando o mais alto nível de severidade.

O plugin, que conta com mais de 100 mil instalações ativas, é amplamente utilizado em sites de comércio eletrônico para permitir que clientes salvem produtos favoritos em listas de desejos e compartilhem essas listas em redes sociais. A descoberta foi feita por pesquisadores da empresa de segurança cibernética Patchstack, que alertaram para a gravidade do problema.

De acordo com John Castro, pesquisador da Patchstack, a vulnerabilidade está presente em todas as versões do plugin até a 2.9.2, lançada em 29 de novembro de 2024. O problema reside na função "tinvwl_upload_file_wc_fields_factory", que utiliza a função nativa do WordPress "wp_handle_upload" para validação de arquivos, mas configura os parâmetros de substituição "test_form" e "test_type" como "false".

Esses parâmetros são essenciais para verificar o tipo MIME dos arquivos ("* e confirmar se o parâmetro $_POST['action'] está conforme o esperado. Ao desativar a validação de tipo de arquivo ("test_type" = false), a função permite o upload de qualquer tipo de arquivo, incluindo arquivos maliciosos, como scripts PHP que podem ser usados para executar códigos remotamente (RCE) e comprometer completamente o servidor.

A exploração bem-sucedida da falha, no entanto, depende de condições específicas: o plugin WC Fields Factory precisa estar instalado e ativado no site WordPress, e a integração com o TI WooCommerce Wishlist deve estar habilitada. Em um cenário de ataque hipotético, um hacker poderia fazer upload de um arquivo PHP malicioso e, ao acessá-lo diretamente, executar comandos no servidor, obtendo controle total do site.

A vulnerabilidade é acessada por meio das funções "tinvwl_meta_wc_fields_factory" ou "tinvwl_cart_meta_wc_fields_factory", que só estão disponíveis quando o WC Fields Factory está ativo, o que limita o escopo do ataque, mas não elimina o risco para os sites que atendem a esses critérios.

A ausência de uma correção oficial agrava a situação, e os desenvolvedores do plugin foram orientados a evitar configurar o parâmetro "test_type" como "false" ao usar a função "wp_handle_upload". Enquanto uma atualização não é lançada, a recomendação da Patchstack é clara: os usuários devem desativar e remover o plugin de seus sites imediatamente para evitar possíveis ataques.

A falha expõe a fragilidade de plugins amplamente utilizados e reforça a necessidade de práticas rigorosas de segurança cibernética, como auditorias regulares de código e atualizações constantes, para proteger sites WordPress, que continuam sendo alvos frequentes de hackers devido à sua popularidade global.

Via - THN