Se ha detectado una vulnerabilidad de seguridad crítica en el complemento TI WooCommerce Wishlist, una extensión de WordPress utilizada por más de 100.000 sitios. Este plugin permite a las tiendas en línea de WooCommerce ofrecer una funcionalidad de lista de deseos.
La versión más reciente (2.9.2 en el momento de este informe) y todas las anteriores contienen una falla de carga de archivos arbitrarios no autenticados, identificada como CVE-2025-47577. Esta vulnerabilidad representa un riesgo considerable para los sitios web que emplean esta herramienta.
Dado que actualmente no existe una versión corregida, se aconseja encarecidamente a los usuarios desactivar y eliminar el complemento para proteger sus sistemas.
Vulnerabilidad de carga de archivos no autenticados
La vulnerabilidad surge de un descuido crítico en el código del complemento, específicamente dentro de la función tinvwl_upload_file_wc_fields_factory ubicada en el archivo integraciones/wc-fields-factory.php.
Esta función aprovecha el mecanismo wp_handle_upload de WordPress, que normalmente aplica la validación del tipo de archivo para evitar la carga de contenido malicioso.
Sin embargo, el complemento desactiva explícitamente esta protección configurando el parámetro ‘test_type’ => false, lo que permite efectivamente a los atacantes cargar cualquier tipo de archivo, incluidos scripts PHP ejecutables.
Dichos archivos se pueden utilizar para lograr la ejecución remota de código (RCE) accediendo directamente al contenido cargado en el servidor.
Detalle técnico del exploit
Se puede acceder al exploit a través de funciones auxiliares como tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, pero requiere que el complemento WC Fields Factory esté activo, lo que reduce el alcance de las configuraciones explotables y aún deja un número considerable de sitios web vulnerables.
Un atacante podría explotar esta falla sin ninguna autenticación, cargando código malicioso para comprometer el servidor, robar datos o interrumpir las operaciones, lo que lo convierte en un problema de alta gravedad para las tiendas WooCommerce afectadas.
La ausencia de un parche amplifica la urgencia, ya que no existe una solución inmediata para mitigar el riesgo más allá de la eliminación completa del complemento.
Para los usuarios de los servicios pagos de Patchstack, la protección contra esta vulnerabilidad ya existe, brindando un escudo temporal para aquellos suscritos a un costo mínimo de $5 por sitio por mes después de registrarse para obtener una cuenta comunitaria gratuita.
Se anima a los desarrolladores de complementos y proveedores de alojamiento a explorar los servicios de auditoría de seguridad y la API empresarial de Patchstack para reforzar las defensas a escala.
Mientras tanto, la comunidad de WordPress en general espera una actualización oficial del equipo de TI WooCommerce Wishlist, con la esperanza de una resolución para restablecer la funcionalidad segura.
Hasta entonces, el curso de acción recomendado sigue siendo claro: deshabilitar y desinstalar el complemento para evitar posibles ataques cibernéticos.
En un contexto más amplio, este incidente subraya la importancia de prácticas de seguridad rigurosas en el desarrollo de complementos.
Según el informe, la implementación defectuosa de omitir la validación de archivos predeterminada de WordPress sirve como advertencia para los desarrolladores, destacando cómo una sola configuración incorrecta puede exponer a miles de sitios web a la explotación.
Por el momento, es imperativo que los administradores de las tiendas prioricen la seguridad sobre la funcionalidad. La vigilancia es clave mientras el entorno digital continúa enfrentándose a amenazas cibernéticas en constante evolución.
En cuanto se disponga de una versión corregida del complemento, se informará de inmediato para que los usuarios puedan restablecer la funcionalidad de la lista de deseos sin comprometer la seguridad de sus plataformas.
