Especialistas em cibersegurança revelaram uma vulnerabilidade de segurança crítica, e ainda sem correção, que afeta o popular plugin TI WooCommerce Wishlist para WordPress. Esta falha pode ser explorada por atacantes, mesmo sem autenticação, para carregar ficheiros arbitrários para os servidores afetados, abrindo portas a potenciais ataques devastadores.
O TI WooCommerce Wishlist, com mais de 100.000 instalações ativas, é uma ferramenta utilizada por muitas lojas online para permitir que os seus clientes guardem produtos favoritos para compras futuras e partilhem essas listas nas redes sociais.
Alerta máximo: vulnerabilidade permite controlo total de sites WordPress
"O plugin é vulnerável a uma falha de carregamento arbitrário de ficheiros que permite a atacantes enviar ficheiros maliciosos para o servidor sem necessidade de autenticação", explicou John Castro, investigador da Patchstack, a empresa de segurança que divulgou o problema.
Identificada como CVE-2025-47577, a vulnerabilidade recebeu uma classificação de gravidade CVSS de 10.0, a mais elevada possível, indicando um risco extremo. A falha afeta todas as versões do plugin até à 2.9.2 (inclusive), lançada a 29 de novembro de 2024. De momento, não existe qualquer atualização de segurança disponível por parte dos programadores do plugin.
Como funciona esta perigosa falha de segurança?
Segundo a Patchstack, o problema reside numa função específica do plugin denominada tinvwl_upload_file_wc_fields_factory. Esta função utiliza um mecanismo nativo do WordPress, wp_handle_upload, para validar os ficheiros carregados. No entanto, fá-lo configurando incorretamente dois parâmetros cruciais: test_form e test_type, definindo ambos como false.
Ao definir o test_type como false, a verificação do tipo de ficheiro (MIME type) é efetivamente contornada. Isto significa que um atacante pode carregar qualquer tipo de ficheiro, incluindo scripts maliciosos, sem que o sistema o impeça.
Condições específicas para a exploração bem-sucedida
É importante notar que a exploração bem-sucedida desta vulnerabilidade depende de uma condição adicional: o plugin WC Fields Factory também tem de estar instalado e ativo no site WordPress. Além disso, a integração entre o TI WooCommerce Wishlist e o WC Fields Factory deve estar habilitada nas configurações do plugin de listas de desejos.
Se estas condições se verificarem, um atacante pode, num cenário hipotético, carregar um ficheiro PHP malicioso e, ao aceder diretamente a esse ficheiro no servidor, conseguir a execução remota de código (RCE). Isto dar-lhe-ia controlo significativo sobre o site comprometido.
Sem correção à vista: o que fazer para proteger o seu site?
Os programadores de plugins são aconselhados a remover ou evitar a configuração 'test_type' => false ao utilizarem a função wp_handle_upload().
Dada a ausência de uma correção oficial para o TI WooCommerce Wishlist, a recomendação urgente para os administradores de sites que utilizam este plugin é a sua desativação e remoção imediata. Esta é, de momento, a única forma de garantir a proteção contra esta falha crítica. Aconselha-se também a monitorização regular de notícias sobre o plugin na sua página oficial no repositório do WordPress para futuras atualizações.
Nenhum comentário
Seja o primeiro!