CVSS 10.0 v WooCommerce Wishlist: neavtenticiran upload datotek ogroža 100.000+ trgovin

Raziskovalci podjetja Patchstack so razkrili kritično varnostno napako v priljubljenem WordPress vtičniku TI WooCommerce Wishlist, ki ima več kot 100.000 aktivnih namestitev. Ranljivost je ocenjena z najvišjo možno resnostjo — CVSS 10.0.

Za kaj gre

Napaka z oznako CVE-2025-47577 omogoča neavtenticirano nalaganje poljubnih datotek na strežnik — napadalcu se ni treba prijaviti. Izvira iz funkcije tinvwl_upload_file_wc_fields_factory, ki kliče vgrajeno WordPress funkcijo wp_handle_upload(), a ji parametra test_form in test_type nastavi na false. S tem se preverjanje vrste datoteke (MIME) obide in naložiti je mogoče kakršnokoli datoteko.

Prizadete so vse različice do vključno 2.9.2 (izdana 29. novembra 2024). Ob razkritju, 29. maja 2025, popravek še ni obstajal.

Kdaj je izkoriščanje mogoče

Ranljiva funkcija je dosegljiva le, če je na strani hkrati nameščen in aktiven vtičnik WC Fields Factory ter vklopljena njegova integracija z Wishlistom. V tem primeru lahko napadalec naloži zlonamerno PHP datoteko in z neposrednim dostopom do nje doseže oddaljeno izvajanje kode (RCE) — torej poln nadzor nad spletno trgovino.

Kaj storiti

Ker popravka ni, Patchstack uporabnikom svetuje, naj prizadeti vtičnik deaktivirajo in izbrišejo. Razvijalcem priporočajo, naj se pri uporabi wp_handle_upload() izogibajo nastavitvi 'test_type' => false.

---

Naš komentar. To je učbeniški primer, zakaj WooCommerce trgovine potrebujejo redne varnostne preglede vtičnikov. En sam neposodobljen vtičnik z napačno konfiguracijo nalaganja datotek zadošča za prevzem celotne strani. V okviru varnostnega testiranja in vzdrževanja WordPress/WooCommerce preverimo nameščene vtičnike, njihove različice in znane CVE-je ter zapremo tovrstne vektorje, preden jih najde nekdo drug.

Vir: Patchstack (raziskovalec John Castro); povzeto po poročanju The Hacker News, 29. 5. 2025.

Izvirni članek na The Hacker News ↗