Il panorama della sicurezza WordPress si trova di fronte a una nuova minaccia critica: una vulnerabilità di tipo arbitrary file upload non autenticata nel popolare plugin TI WooCommerce Wishlist, utilizzato da oltre 100.000 siti e-commerce. La falla, identificata come CVE-2025-47577, è stata pubblicamente divulgata da Patchstack e, al momento della stesura, non risulta ancora disponibile una patch ufficiale.

Dettagli tecnici della vulnerabilità

Il cuore del problema risiede nella funzione tinvwl_upload_file_wc_fields_factory, che gestisce l’upload di file sfruttando la funzione nativa di WordPress wp_handle_upload. Tuttavia, il parametro 'test_type' => false viene esplicitamente impostato, disabilitando così la validazione del tipo di file. In pratica, ciò consente a chiunque—senza autenticazione—di caricare file di qualsiasi tipo, inclusi script PHP potenzialmente dannosi13.

La funzione vulnerabile è accessibile tramite le funzioni tinvwl_meta_wc_fields_factory o tinvwl_cart_meta_wc_fields_factory, ma solo se il plugin WC Fields Factory è attivo. Questo dettaglio riduce il perimetro di attacco, ma non ne elimina la gravità: in presenza di entrambi i plugin, un attaccante può caricare una web shell e ottenere esecuzione di codice remoto (RCE) sul server.

Impatto e vettori di attacco

La possibilità di caricare file arbitrari senza autenticazione apre la strada a scenari di compromissione totale del sito, inclusi:

• Upload di web shell per il controllo remoto del server
• Defacement del sito
• Furto di dati sensibili e credenziali
• Utilizzo del sito come punto di partenza per ulteriori attacchi nella rete

L’exploit è particolarmente pericoloso perché non richiede credenziali né privilegi elevati: basta individuare un sito vulnerabile con entrambi i plugin attivi.

Stato della patch e raccomandazioni

Al momento della pubblicazione dell’analisi, non esiste una versione corretta del plugin TI WooCommerce Wishlist (l’ultima versione vulnerabile è la 2.9.2). Tuttavia, alcune fonti indicano che la vulnerabilità sarebbe stata risolta nella versione 2.9.3; si raccomanda quindi di aggiornare immediatamente il plugin, se disponibile, oppure di disattivarlo e rimuoverlo in attesa di una patch ufficiale.

Per mitigare il rischio nell’immediato:

• Disabilitare e rimuovere il plugin TI WooCommerce Wishlist se utilizzato in combinazione con WC Fields Factory
• Monitorare costantemente i log del server per attività sospette di upload
• Implementare regole WAF specifiche per bloccare tentativi di upload non autorizzati
• Aggiornare tempestivamente il plugin non appena disponibile una versione sicura

Considerazioni per sviluppatori e ricercatori

La vulnerabilità mette in evidenza l’importanza di rispettare le best practice di sicurezza nello sviluppo WordPress, in particolare nell’uso delle API di upload: impostare 'test_type' => false equivale a disabilitare una delle principali barriere contro l’upload di file dannosi. Gli sviluppatori dovrebbero evitare questa pratica e affidarsi sempre ai controlli nativi di WordPress per la validazione dei file.

Per i ricercatori di sicurezza, il caso rappresenta un esempio di come la combinazione di plugin possa aprire nuove superfici di attacco, spesso trascurate nei test di sicurezza standard.

CVE-2025-47577 è una vulnerabilità critica che espone migliaia di siti WordPress a rischi di compromissione totale. L’assenza di una patch immediata rende fondamentale la tempestività delle contromisure da parte di amministratori e sviluppatori. L’informazione in questi casi è l’unica arma che possiamo sfruttare.