Критична вразливість у плагіні TI Wishlist загрожує інтернет-магазинам

На більш ніж 100 000 сайтів WordPress, що використовують плагін TI WooCommerce Wishlist, виявлена ​​критична вразливість — CVE-2025-47577 з рейтингом небезпеки 10 з 10. Вона дозволяє зловмисникам без авторизації завантажувати довільні файли на сервер.

TI WooCommerce Wishlist — популярний інструмент для створення списків бажаного в інтернет-магазинах. Уразливість виявлено у версії 2.7.4 і раніше. На момент публікації оновлення, яке вирішує проблему, ще не випущено, і користувачам настійно рекомендується тимчасово вимкнути або видалити плагін.

Розробка плагіна належить компанії TemplateInvaders. За даними Wordfence, проблема пов'язана з відсутністю належної валідації вхідних даних під час завантаження зображень товарів до списків бажаного. У разі експлуатації вразливості атакуючий отримує можливість розміщувати шкідливий код та виконувати довільні скрипти від імені сервера.