HackerNews 编译,转载请注明出处:
网络安全研究人员披露了TI WooCommerce Wishlist插件存在关键未修补漏洞,该WordPress插件允许未经验证的攻击者上传任意文件。
这款活跃安装量超10万的电商插件,主要功能是让用户收藏商品并分享心愿清单至社交媒体平台。“该插件存在任意文件上传漏洞,攻击者无需认证即可向服务器上传恶意文件。”Patchstack研究员约翰·卡斯特罗指出。该漏洞编号CVE-2025-47577,CVSS评分为10.0分,影响2024年11月29日发布的2.9.2及之前所有版本,目前尚无补丁可用。
漏洞源于“tinvwl_upload_file_wc_fields_factory”函数调用WordPress原生函数“wp_handle_upload”时,将覆盖参数“test_form”和“test_type”设置为false。其中“test_type”参数本应验证文件MIME类型,“test_form”用于检查$_POST[‘action’]参数。当“test_type”设为false时,文件类型验证机制被完全绕过。
需注意的是,该漏洞函数仅当WC Fields Factory插件启用时,通过tinvwl_meta_wc_fields_factory或tinvwl_cart_meta_wc_fields_factory接口暴露。这意味着成功利用漏洞需同时满足两个条件:WordPress站点安装并启用了WC Fields Factory插件,且TI WooCommerce Wishlist插件中开启了该集成功能。
在攻击场景中,攻击者可上传恶意PHP文件并通过直接访问实现远程代码执行。建议开发者在使用wp_handle_upload()时移除或避免设置‘test_type’ => false。在官方补丁发布前,用户应立即停用并删除该插件。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
