Alerta de seguridad crítica en TI WooCommerce Wishlist

Los investigadores de ciberseguridad han descubierto una vulnerabilidad crítica sin parche en el complemento TI WooCommerce Wishlist para WordPress, que podría ser explotada por atacantes no autenticados para realizar cargas de archivos arbitrarios y potencialmente lograr ejecución remota de código (RCE).

¿Qué es TI WooCommerce Wishlist?

TI WooCommerce Wishlist es un popular plugin de WordPress con más de 100.000 instalaciones activas, que permite a los usuarios de tiendas en línea guardar productos en listas de deseos y compartirlas en redes sociales. Su amplia adopción lo convierte en un objetivo atractivo para los ciberdelincuentes.

Detalles de la vulnerabilidad crítica (CVE-2025-47577)

La falla, catalogada como CVE-2025-47577, ha sido identificada con una puntuación CVSS de 10.0, el valor más alto en la escala de criticidad. Esta vulnerabilidad afecta a todas las versiones hasta e incluida la 2.9.2, publicada el 29 de noviembre de 2024. Actualmente, no existe un parche disponible, lo que incrementa el riesgo de explotación activa.

Según el investigador John Castro de Patchstack, la vulnerabilidad reside en la función tinvwl_upload_file_wc_fields_factory, que usa la función nativa de WordPress wp_handle_upload() para validar las cargas de archivos. Sin embargo, establece los parámetros test_form y test_type como false, lo cual desactiva los mecanismos de validación de tipo MIME y formulario, permitiendo así la subida de archivos no seguros.

Citar"El plugin es vulnerable a una vulnerabilidad de carga de archivos arbitrarios que permite a los atacantes subir archivos maliciosos al servidor sin autenticación", explicó Castro.

Condiciones para la explotación

La función vulnerable puede ser accedida a través de las funciones tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, pero solo cuando el plugin adicional WC Fields Factory está instalado y activo. Además, la integración entre ambos plugins debe estar habilitada dentro de la configuración de TI WooCommerce Wishlist.

Esto significa que la explotación exitosa requiere que WC Fields Factory esté presente en el sitio web, lo cual limita parcialmente la superficie de ataque, aunque sigue siendo una amenaza grave.

Riesgo de ejecución remota de código (RCE)

En un escenario de ataque real, un actor malicioso podría aprovechar esta falla para cargar un archivo PHP malicioso al servidor y luego ejecutarlo directamente, obteniendo control total sobre el sitio WordPress comprometido. Esta técnica es común en campañas de ataques automatizados que buscan vulnerabilidades en plugins populares y desprotegidos.

Recomendaciones de seguridad

Mientras se espera una actualización oficial del desarrollador del complemento, se recomienda encarecidamente a todos los administradores de WordPress que tengan instalado TI WooCommerce Wishlist tomar medidas inmediatas:

• Desactivar y eliminar el plugin hasta que se publique un parche oficial.
• Revisar si WC Fields Factory está activo, y desactivarlo en caso de no ser estrictamente necesario.
• Monitorear los archivos del servidor en busca de archivos PHP sospechosos recientemente subidos.
• Aplicar reglas de firewall a nivel de aplicación (WAF) para bloquear accesos a rutas sensibles.

Los desarrolladores de plugins también deben evitar establecer test_type => false al usar wp_handle_upload(), y aplicar prácticas seguras de validación de archivos para evitar este tipo de vulnerabilidades.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta