CVE-2025-47577

Nome do Software Vulnerável e Versões Afetadas Versões do TI WooCommerce Wishlist anteriores à 2.9.2

Descrição O problema está relacionado ao upload irrestrito de arquivos com tipos perigosos no plugin TI WooCommerce Wishlist, permitindo que atacantes carreguem arquivos maliciosos no servidor sem autenticação. Isso pode levar à execução remota de código. A vulnerabilidade afeta mais de 100.000 sites WordPress. Não há informações sobre incidentes reais onde essa questão foi explorada.

Recomendações Para versões anteriores à 2.9.2, considere desativar o plugin e removê-lo do seu site até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a função tinvwl upload file wc fields factory e a função wp handle upload com o parâmetro test type definido como false. Restrinja o acesso às funções tinvwl meta wc fields factory e tinvwl cart meta wc fields factory, que são acessíveis apenas quando o plugin WC Fields Factory está ativo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.