Un bug di sicurezza con score 10 affligge un plugin WordPress con 100.000 installazioni

Gli analisti di Patchstack hanno scoperto una vulnerabilità critica nel plugin TI WooCommerce Wishlist per WordPress. Il problema non è ancora stato risolto e può essere sfruttato dagli aggressori per scaricare file arbitrari.

TI WooCommerce Wishlist ha oltre 100.000 installazioni attive. Il plugin consente ai clienti del negozio online di salvare i loro prodotti preferiti per acquistarli in un secondo momento e di condividere tali elenchi con altri utenti sui social network. “Il plugin è vulnerabile al caricamento di file arbitrario, consentendo ad aggressori non autenticati di caricare file dannosi sul server”, avverte Patchstack.

Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-47577 e ha ricevuto il punteggio massimo di 10 punti su 10 sulla scala CVSS. Il problema riguarda tutte le versioni del plugin elencate di seguito, inclusa la 2.9.2 del 29 novembre 2024.

Come hanno spiegato gli esperti, la radice del problema risiede nella funzione tinvwl_upload_file_wc_fields_factory, che a sua volta utilizza un’altra funzione integrata di WordPress, wp_handle_upload, per eseguire la convalida, ma imposta i parametri di override test_form e test_type su false.

Il parametro test_type viene utilizzato per verificare se il tipo di file MIME (Multipurpose Internet Mail Extension) corrisponde al tipo previsto, mentre test_form viene utilizzato per verificare se il parametro $_POST[‘action’] corrisponde al tipo previsto.

Di conseguenza, impostando test_type su false è possibile ignorare il controllo del tipo di file, consentendo quindi di caricare file di qualsiasi tipo.

Si noti che la funzione vulnerabile è accessibile tramite tinvwl_meta_wc_fields_factory e tinvwl_cart_meta_wc_fields_factory solo quando il plugin WC Fields Factory è attivo sul sito. Ciò significa che lo sfruttamento riuscito del bug è possibile solo se il plugin WC Fields Factory è attivo su un sito basato su WordPress e se l’integrazione è abilitata nel plugin TI WooCommerce Wishlist.

In caso di attacco, un aggressore ha la possibilità di caricare un file PHP dannoso ed eseguire codice in remoto accedendo direttamente al file caricato. Poiché non è ancora disponibile alcuna patch, si consiglia vivamente agli utenti del plugin di disattivarlo o rimuoverlo dai propri siti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks