Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Notizie Flash

Wishlist pericolosa: scoperta vulnerabilità critica nel plugin TI WooCommerce Wishlist

Una falla con CVSS 10/10 minaccia oltre 100.000 siti WordPress: gli hacker possono caricare file dannosi. Nessuna patch disponibile.

Plugin TI WooCommerce Wishlist

23 Giugno 2025

Indice dei contenuti

  • Un plugin popolare sotto attacco: cosa è successo
  • Il cuore della falla: un controllo disabilitato
  • Quando il rischio diventa reale
  • Nessuna patch, solo prevenzione

Un plugin popolare sotto attacco: cosa è successo

È stato individuato un bug di sicurezza di massima gravità nel plugin TI WooCommerce Wishlist, utilizzato su oltre 100.000 siti WordPress.

A lanciare l’allarme è Patchstack, che ha assegnato alla vulnerabilità l’identificatore CVE-2025-47577 e un punteggio di 10/10 sulla scala CVSS, segno del rischio estremo per chiunque utilizzi il componente.

Il plugin serve per permettere agli utenti di salvare prodotti preferiti e creare liste dei desideri condivisibili. Tuttavia, proprio una funzione di upload file, pensata per gestire dati in input, si è rivelata un varco per gli attaccanti.

Il cuore della falla: un controllo disabilitato

Il problema nasce dalla funzione tinvwl_upload_file_wc_fields_factory, che sfrutta wp_handle_upload per gestire i file caricati.

Due parametri fondamentali – test_form e test_type – sono impostati su false. Questo significa che il sistema non verifica il tipo di file né l’origine della richiesta.

Così, un hacker non autenticato può caricare file di qualsiasi tipo, inclusi file PHP dannosi, aprendo la strada all’esecuzione di codice remoto sul server.

Quando il rischio diventa reale

La vulnerabilità non è sfruttabile in ogni situazione. Serve che:

  • Il plugin WC Fields Factory sia attivo;
  • L’integrazione con TI WooCommerce Wishlist sia abilitata.

Solo in questa configurazione è possibile accedere alla funzione vulnerabile, attraverso tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory.

Tuttavia, considerando la diffusione del plugin e l’assenza di una patch, il rischio resta altissimo.

Nessuna patch, solo prevenzione

Al momento non è stata rilasciata alcuna correzione ufficiale. Gli esperti raccomandano agli amministratori di siti WordPress di disattivare o disinstallare immediatamente il plugin.

Questo tipo di vulnerabilità – detta arbitrary file upload – è tra le più pericolose nel mondo della cyber security WordPress, perché permette attacchi diretti, silenziosi e devastanti.

Cosa puoi fare subito

  1. Controlla se il plugin è attivo sul tuo sito.
  2. Verifica la presenza del WC Fields Factory e la relativa integrazione.
  3. Se usi entrambi: disattiva o rimuovi TI WooCommerce Wishlist.
  4. Tieni sotto controllo il sito ufficiale del plugin per eventuali aggiornamenti.

Domande frequenti

  1. Cos’è TI WooCommerce Wishlist?
    È un plugin WordPress per creare liste dei desideri nei negozi online basati su WooCommerce.
  2. Quante installazioni attive ha?
    Oltre 100.000.
  3. Che tipo di vulnerabilità è stata scoperta?
    Una vulnerabilità di upload arbitrario di file, con possibilità di esecuzione di codice remoto.
  4. Qual è l’identificatore CVE assegnato?
    CVE-2025-47577.
  5. Qual è il punteggio CVSS?
    10 su 10, il massimo.
  6. La vulnerabilità è già stata corretta?
    No, non esiste ancora una patch.
  7. Cosa può fare un attaccante?
    Caricare file malevoli, come PHP shell, ed eseguire codice sul server.
  8. È necessario che il plugin WC Fields Factory sia attivo?
    Sì, senza di esso l’exploit non è possibile.
  9. Come mi proteggo?
    Disattiva o disinstalla subito TI WooCommerce Wishlist.
  10. Ci sono alternative sicure?
    Sì, esistono plugin wishlist alternativi con codice più aggiornato e auditati.
1
To top