Se ha revelado una falla de seguridad crítica sin parche que afecta al complemento TI WooCommerce Wishlist para WordPress y que podría ser explotada por actores maliciosos no autenticados para cargar archivos arbitrarios.
Productos afectados
- TI WooCommerce Wishlist hasta la versión 2.9.2.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-47577: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad de carga sin restricciones de archivos de tipo peligroso, en TemplateInvaders TI WooCommerce Wishlist. Esta podría permitir a un actor malicioso cargar un Web Shell a un servidor web.
Recomendación
Aún no se cuenta con una actualización para remediar la vulnerabilidad, por lo que se sugieren estas medidas de mitigación:
- Elimine el complemento inmediatamente a menos que sea esencial para su sitio.
- Limite los permisos de carga de archivos e implemente herramientas de seguridad como WAF.
- Esté atento a las actualizaciones de los proveedores y aplique los nuevos parches una vez que estén disponibles.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-47577