Wenn das WordPress-Plug-in TI WooCommerce Wishlist installiert ist, können Angreifer mit vergleichsweise wenig Aufwand Schadcode hochladen und Internetseiten kompromittieren. Bislang ist kein Sicherheitsupdate verfügbar. WordPress-Installationen sind aber nur unter einer bestimmten Voraussetzung attackierbar.
Die Sicherheitslücke (CVE-2025-47577) ist mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Auf die Schwachstelle sind Sicherheitsforscher von Patchstack gestoßen. Websites sind ihrem Bericht zufolge aber nur verwundbar, wenn die WooCommerce-Erweiterung WC Fields Factory aktiv und mit TI WooCommerce Wishlist verknüpft ist.
Ist das gegeben, können Angreifer an der defekten Uploadfunktion tinvwl_upload_file_wc_fields_factory ansetzen und mit der Angabe 'test_type' => false die Dateiüberprüfung umgehen, um so eigenen Code hochzuladen und auszuführen. Das kann etwa aus der Ferne über den Upload einer präparierten PHP-Datei passieren. Bislang haben die Sicherheitsforscher eigenen Angaben zufolge keine Attacken beobachtet.
Auf der Website des Plug-ins steht, dass es mehr als 100.000 aktive Installationen aufweist. Von der Lücke sollen alle Versionen bis inklusive der aktuellen Ausgabe 2.9.2 betroffen sein. Die Sicherheitsforscher geben an, die Entwickler Ende März dieses Jahres kontaktiert zu haben. Bislang haben sie dazu kein Feedback bekommen. Wann ein Sicherheitsupdate erscheint, bleibt somit unklar. Admins sollten bis Erscheinen eines Patches das Plug-in aus Sicherheitsgründen deaktivieren.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo