Segurança

Falha crítica em plugin coloca mais de 100 mil sites WordPress em risco

Imagem do autor do SempreUpdate Jardeson Márcio
Por Jardeson Márcio
Segurança
3 min
WordPress

Vulnerabilidade grave no TI WooCommerce Wishlist permite execução remota de código e ameaça e-commerces

Mais de 100 mil sites WordPress estão vulneráveis a ataques cibernéticos devido a uma falha crítica no plugin TI WooCommerce Wishlist, amplamente utilizado por lojas virtuais para permitir que os clientes salvem produtos em listas de desejos. A vulnerabilidade, identificada como CVE-2025-47577, possui a pontuação máxima na escala CVSS: 10.0, indicando um risco extremamente elevado.

Conteúdo

De acordo com especialistas em cibersegurança da Patchstack, a falha permite que usuários não autenticados enviem arquivos maliciosos diretamente para o servidor, abrindo caminho para ataques de execução remota de código (RCE). O problema está presente em todas as versões do plugin lançadas até 29 de novembro de 2024, inclusive na versão 2.9.2. Até o momento, não há correção oficial disponível.

Como funciona a falha

Imagem com a logomarca do WordPress

O ponto vulnerável é a função tinvwl_upload_file_wc_fields_factory, que faz uso da função nativa do WordPress wp_handle_upload(). No entanto, dois parâmetros de segurança fundamentais — test_type e test_form — são desativados ao serem definidos como “false”. Essa configuração desativa a verificação do tipo MIME do arquivo, permitindo que qualquer tipo de arquivo, incluindo scripts PHP maliciosos, seja aceito pelo sistema.

A execução da função vulnerável requer ainda que outro plugin esteja ativo: o WC Fields Factory. Apenas quando esse segundo plugin está instalado e a integração estiver habilitada é que o vetor de ataque se torna viável.

Riscos práticos e recomendações

Em um cenário de ataque, um cibercriminoso poderia carregar um arquivo PHP malicioso no servidor da vítima e, em seguida, executar comandos remotamente. Isso permite o controle parcial ou total do site afetado, comprometendo dados sensíveis e a integridade do sistema.

Recomendações para usuários do plugin:

  • Desativar imediatamente o TI WooCommerce Wishlist;
  • Remover completamente o plugin até que uma atualização de segurança seja lançada;
  • Administradores de plugins devem evitar definir test_type como falso em funções de upload.

A falha ressalta a importância de manter uma gestão proativa de segurança em sites WordPress, especialmente aqueles que utilizam múltiplos plugins de terceiros. A instalação de plugins apenas de fontes confiáveis e atualizações frequentes são medidas essenciais para evitar vulnerabilidades críticas como esta.

TAGGED:
Compartilhe este artigo
Artigo anterior Fachada da Vitoria's Secret Victoria’s Secret desativa site após ataque de segurança
Próximo artigo RAT Windows Novo RAT para Windows engana antivírus com cabeçalhos corrompidos
Malwares

Golpistas usam instaladores falsos de IA para espalhar ransomware e malware

malware IA

Instaladores falsos de IA ameaçam usuários com ransomwares sofisticados

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto