Vulnerabilidad de seguridad grave podría poner en peligro más de 100,000 sitios de WordPress.
Una vulnerabilidad en un popular plugin de WordPress aún no ha sido corregida.
Un defecto en el plugin TI WooCommerce Wishlist ha sido identificado, lo que permite a los actores maliciosos cargar archivos de forma arbitraria. Esta vulnerabilidad podría llevar a la completa toma de control de un sitio web afectado. Hasta el momento, no se ha lanzado un parche para corregir esta falla, lo que genera preocupación entre los usuarios.
Investigadores de seguridad de Patchstack han advertido que este plugin popular para WordPress contiene un fallo que facilita la carga de archivos dañinos en el servidor sin necesidad de autenticación. Esta vulnerabilidad, etiquetada como CVE-2025-47577, posee un puntaje de severidad de 10 sobre 10, marcándola como crítica.
El TI WooCommerce Wishlist es una extensión diseñada para tiendas que utilizan WooCommerce, permitiendo a los usuarios crear y gestionar listas de deseos, además de guardar y compartir productos preferidos. Este plugin incluye opciones para compartir en redes sociales y funcionalidades basadas en AJAX, así como soporte para múltiples listas de deseos en su versión premium y notificaciones por correo electrónico.
Se estima que existen más de 100,000 instalaciones activas de este plugin, lo que incrementa considerablemente la superficie de ataque potencial. Esta situación se vuelve aún más alarmante al considerar que estos sitios son plataformas de comercio electrónico, donde los visitantes normalmente tienen la intención de realizar compras.
La versión más reciente del plugin es la 2.9.2, actualizada hace seis meses. Dado que aún no está disponible un parche, se aconseja a los usuarios que desactiven y eliminen el plugin mientras esperan una solución a la vulnerabilidad.
Como aspecto positivo, la explotación exitosa de esta vulnerabilidad solo puede ocurrir en sitios que también tengan instalado y en funcionamiento el plugin WC Fields Factory, con la integración habilitada en TI WooCommerce Wishlist. WC Fields Factory es un plugin gratuito que permite a los propietarios de tiendas añadir campos personalizados a las páginas de productos, formularios de variaciones y de checkout, entre otros elementos de la interfaz de administración de WordPress.
