サイバーセキュリティ研究者は、認証されていない攻撃者が任意のファイルをアップロードするために悪用できる、WordPressのTI WooCommerce Wishlistプラグインに影響を与える重大な未修正のセキュリティ欠陥を公開しました。
TI WooCommerce Wishlistは、10万以上のアクティブインストールを持ち、eコマースサイトの顧客が後でお気に入りの商品を保存し、ソーシャルメディアプラットフォームでリストを共有できるようにするツールです。
“このプラグインは、認証なしで攻撃者がサーバーに悪意のあるファイルをアップロードできる任意のファイルアップロード脆弱性に対して脆弱です”とPatchstackの研究者John Castroは述べました。
CVE-2025-47577として追跡されているこの脆弱性は、CVSSスコア10.0を持ちます。2024年11月29日にリリースされた2.9.2以下のすべてのバージョンのプラグインに影響を与えます。現在、パッチは利用できません。
ウェブサイトセキュリティ会社は、この問題が「tinvwl_upload_file_wc_fields_factory」という名前の関数にあり、これがさらに別のネイティブWordPress関数「wp_handle_upload」を使用して検証を行いますが、オーバーライドパラメータ「test_form」と「test_type」を「false」に設定しています。
“test_type”オーバーライドは、ファイルのMultipurpose Internet Mail Extension (MIME)タイプが期待通りであるかどうかをチェックするために使用され、”test_form”は$_POST[‘action’]パラメータが期待通りであるかを確認するために使用されます。
“test_type”をfalseに設定することで、ファイルタイプの検証が事実上バイパスされ、任意のファイルタイプをアップロードできるようになります。
つまり、脆弱な関数はtinvwl_meta_wc_fields_factoryまたはtinvwl_cart_meta_wc_fields_factoryを介してアクセス可能であり、これらはWC Fields Factoryプラグインがアクティブな場合にのみ利用可能です。
これはまた、WC Fields FactoryプラグインがWordPressサイトにインストールされアクティブ化されており、TI WooCommerce Wishlistプラグインで統合が有効になっている場合にのみ、攻撃が成功する可能性があることを意味します。
仮想的な攻撃シナリオでは、脅威アクターが悪意のあるPHPファイルをアップロードし、アップロードされたファイルに直接アクセスすることでリモートコード実行(RCE)を達成する可能性があります。
プラグイン開発者は、wp_handle_upload()を使用する際に’test_type’ => falseを削除または設定しないことを推奨します。パッチがない場合、プラグインのユーザーはプラグインを無効化し、サイトから削除するよう促されています。
翻訳元: https://thehackernews.com/2025/05/over-100000-wordpress-sites-at-risk.html