Investigadores de seguridad de Patchstack han descubierto una vulnerabilidad crítica (CVE-2025-47577, CVSS 10.0) en el plugin TI WooCommerce Wishlist, utilizado por más de 100.000 sitios WordPress. Este fallo permite a atacantes subir archivos maliciosos y ejecutar código remoto (RCE) sin necesidad de autenticación.
Detalles técnicos de la vulnerabilidad
-
Origen del fallo: La función
tinvwl_upload_file_wc_fields_factorydel plugin utiliza el helper nativowp_handle_upload()con los parámetrostest_formytest_typeconfigurados comofalse, lo que desactiva las validaciones de seguridad. -
Consecuencia: Permite la subida de archivos PHP maliciosos que pueden ejecutarse en el servidor, dando control total al atacante.
-
Condición de explotación: El plugin WC Fields Factory debe estar instalado y activo para que el ataque sea posible.
Versiones afectadas
-
Todas las versiones del plugin hasta la 2.9.2 (publicada el 29 de noviembre de 2024).
-
No existe parche oficial al momento de esta alerta (30 de mayo de 2025).
Recomendaciones de mitigación
-
Eliminar el plugin inmediatamente si no es esencial para el funcionamiento del sitio.
-
Restringir permisos de ejecución en la carpeta
/wp-content/uploads/mediante reglas de servidor (ej..htaccessen Apache):<Files *.php> Deny from all </Files>
-
Monitorear logs de acceso para detectar intentos de explotación.
-
Considerar alternativas seguras para listas de deseos en WooCommerce.
Implicaciones de seguridad
Este caso destaca cómo la desactivación de un solo control de validación puede comprometer completamente un sitio web. Los atacantes podrían:
-
Instalar backdoors permanentes
-
Robar información sensible
-
Secuestrar el sitio para distribuir malware
-
Realizar ataques a otros sistemas conectados
Fuentes adicionales
🔴 Acción inmediata requerida: Administradores de sitios con este plugin deben implementar las medidas de mitigación lo antes posible.
