0day в вишлистах: хватит и одного запроса, чтобы ваш сайт лёг навсегда
Популярный WordPress-плагин превращает любой магазин в открытую дверь.
Более 100 тысяч интернет-магазинов на WordPress оказались под угрозой из-за критической уязвимости в популярном плагине TI WooCommerce Wishlist. По данным специалистов PatchStack, этот модуль, обеспечивающий функцию списков желаемого для WooCommerce, содержит опасную брешь, которая позволяет злоумышленникам загружать на сервер любые файлы, включая вредоносные скрипты.
Уязвимость получила идентификатор CVE-2025-47577 с максимальной оценкой в 10 баллов по шкале CVSS. Проблема затрагивает актуальную на момент публикации версию 2.9.2, а также все предыдущие.
Плагин обычно используется вместе с WC Fields Factory — расширением, которое позволяет гибко настраивать формы магазина. Именно эта связка открывает возможность для атаки: уязвимость скрыта в функции tinvwl_upload_file_wc_fields_factory, расположенной в файле integrations/wc-fields-factory.php. Вместо стандартной проверки типа загружаемого файла, предусмотренной WordPress, в плагине вручную отключена проверка параметром «test_type» => false. Это позволяет злоумышленнику загрузить на сервер исполняемый PHP-файл и получить удалённый доступ к управлению сайтом.
Атака не требует авторизации: достаточно, чтобы плагин TI WooCommerce Wishlist был установлен и активирован вместе с WC Fields Factory. В результате уязвимость может быть использована для выполнения произвольного кода, кражи данных, взлома сайта или полной остановки работы магазина.
Особую тревогу вызывает отсутствие обновления: на момент публикации не выпущено ни одной исправленной версии. В связи с этим владельцам сайтов настоятельно рекомендуется полностью отключить и удалить плагин до выхода безопасного обновления.
Этот инцидент вновь подчёркивает необходимость строгого соблюдения правил безопасности при разработке расширений. Игнорирование встроенных защитных механизмов WordPress, как показал пример с отключением проверки типа файлов, может привести к масштабным последствиям. Даже единичная ошибка в конфигурации становится точкой входа для атак, потенциально затрагивая десятки тысяч сайтов.
В условиях, когда атаки становятся всё изощрённее, владельцам ресурсов приходится выбирать безопасность, даже если это означает временное отключение привычной функции. При выходе обновления разработчики обещают оперативно сообщить об этом, чтобы владельцы магазинов могли вернуть функциональность без риска для безопасности.