Un'importante falla di sicurezza nel plugin TI WooCommerce Wishlist sta mettendo in pericolo centinaia di migliaia di siti WordPress. Secondo i ricercatori di Patchstack, la vulnerabilità consentiva il caricamento arbitrario di file sul server, senza alcuna autenticazione.
Tracciata come CVE-2025-47577, la falla ha ottenuto un punteggio di 10 su 10 in gravità, permettendo potenzialmente la completa compromissione del sito web. Il rischio è concreto: un attore malintenzionato potrebbe caricare file malevoli e ottenere accesso al server sottostante.
Grave falla in plugin WooCommerce
Il plugin TI WooCommerce Wishlist, utilizzato da oltre 100.000 siti attivi, permette agli utenti di creare e condividere liste dei desideri nei negozi WooCommerce. Tuttavia, una vulnerabilità critica (CVE-2025-47577) rilevata dagli esperti di Patchstack consente il caricamento arbitrario di file senza autenticazione, potenzialmente portando al controllo completo del sito.
A peggiorare la situazione, questi sono siti e-commerce, il che aumenta il rischio per gli utenti che vi effettuano acquisti. La falla riguarda la versione 2.9.2 del plugin, non ancora corretta al momento della segnalazione. Gli utenti sono invitati a disattivare e rimuovere temporaneamente il plugin in attesa della patch.
C'è però una nota positiva: l’exploit è possibile solo se è installato anche il plugin gratuito WC Fields Factory con l’integrazione attiva. Questo plugin consente di aggiungere campi personalizzati alle pagine prodotto e al checkout, influenzando anche prezzi dinamici e visibilità dei contenuti.