WordPress TI WooCommerce Wishlist 插件漏洞使 100,000+ 网站遭受网络攻击

流行的 TI WooCommerce Wishlist 插件中的一个严重安全漏洞已使超过 100,000 个 WordPress 网站面临潜在的网络攻击，安全研究人员警告即将面临利用风险。

该漏洞被指定为 CVE-2025-47577，并被分配了最高 CVSS 分数 10.0，它使未经身份验证的攻击者能够将任意文件上传到受影响的网站，从而可能导致服务器完全受损。TI WooCommerce Wishlist 插件为 WooCommerce 商店添加了愿望清单功能，已成为全球电子商务网站的重大安全责任。

该漏洞特别影响版本 2.9.2 和所有以前的版本，插件开发人员目前没有提供补丁版本。

鉴于其广泛部署和潜在攻击的严重性，该安全漏洞是最近几个月发现的最严重的 WordPress 插件漏洞之一。

Patchstack 分析师在例行安全评估中发现了这个关键漏洞，并立即尝试在 2025 年 3 月 26 日联系插件供应商。

然而，在近两个月没有收到开发人员的回应后，该安全公司于 2025 年 5 月 16 日将漏洞详细信息发布到他们的数据库中，随后于 2025 年 5 月 27 日发布了公开公告。

缺乏供应商响应使网站管理员除了从他们的安装中完全删除插件之外，别无选择。

技术感染机制

该漏洞源于插件的文件上传处理机制中的一个根本缺陷，特别是在函数中。tinvwl_upload_file_wc_fields_factory

此功能通过 WordPress 的原生功能处理文件上传，但故意禁用通常会防止恶意文件上传的关键安全验证。wp_handle_upload有问题的代码展示了绕过 WordPress 内置安全措施的危险配置：

functiontinvwl_upload_file_wc_fields_factory($file ) {    if(!function_exists( 'wp_handle_upload' ) ) {        require_once( ABSPATH . 'wp-admin/includes/file.php' );    }    $upload = wp_handle_upload(        $file,        [            'test_form' => false,            'test_type' => false,        ]    );    return $upload;}

严重安全故障通过 parameter 发生，该参数显式禁用通常会将上传限制为安全文件类型的文件类型验证。'test_type' => false

此配置允许攻击者将可执行的 PHP 文件直接上传到服务器，然后可以远程访问和执行这些文件以实现完全的系统入侵。

只有当 WC Fields Factory 插件同时处于活动状态时，才能利用该漏洞，从而创建一个影响插件用户群子集的特定攻击媒介。