Allarme Sicurezza: Bug Critico (10/10) in Plugin WordPress Rischia 100.000 Siti

Un allarme di massima gravità è stato lanciato per una vulnerabilità critica, con un punteggio di 10 su 10 (il massimo della scala CVSS), che affligge il popolare plugin WordPress "TI WooCommerce Wishlist". Questo plugin, utilizzato da oltre 100.000 siti di e-commerce basati su WooCommerce, espone un vasto numero di negozi online a un rischio imminente di compromissione.

La vulnerabilità, identificata come CVE-2025-47577, è una falla che consente a un attaccante non autenticato di caricare file malevoli direttamente sul server del sito web. Il problema risiede nella funzione tinvwl_upload_file_wc_fields_factory, la quale non valida correttamente i tipi di file a causa di impostazioni di parametro errate.

Per sfruttare con successo questa vulnerabilità, è necessario che il plugin "WC Fields Factory" sia attivo e integrato con "TI WooCommerce Wishlist". Se queste condizioni sono soddisfatte, un attaccante può caricare un file PHP malevolo sul server e, una volta caricato, eseguirne il codice in remoto. Ciò significa che i criminali informatici potrebbero ottenere il controllo completo del sito web, rubare dati sensibili dei clienti (inclusi dati personali e potenzialmente finanziari), installare malware aggiuntivo o utilizzare il sito per scopi illeciti.

La gravità di questa falla è ulteriormente amplificata dal fatto che, al momento della scoperta, non è disponibile alcuna patch correttiva da parte degli sviluppatori del plugin. Questa situazione lascia i siti vulnerabili esposti a potenziali attacchi "zero-day", ovvero attacchi che sfruttano una vulnerabilità prima che sia disponibile una soluzione.

Cosa fare immediatamente:

Considerando l'assenza di una patch e la criticità della vulnerabilità, gli esperti di sicurezza consigliano vivamente a tutti gli utenti che utilizzano il plugin "TI WooCommerce Wishlist" di adottare misure immediate per proteggere i propri siti:

• Disattivare o rimuovere immediatamente il plugin: Questa è l'azione più raccomandata per eliminare il rischio. Se il plugin è essenziale per la funzionalità del sito, valutare soluzioni alternative temporanee o rimanere in attesa di una patch ufficiale.

• Monitorare i log del server: Controllare attentamente i log del server per rilevare eventuali attività sospette, come tentativi di upload di file sconosciuti o accessi anomali.

• Eseguire backup completi: Assicurarsi di avere backup recenti e integri del sito web e del database.

• Mantenere aggiornati tutti gli altri plugin e il core di WordPress: Anche se la vulnerabilità è specifica di un plugin, avere il resto del sistema aggiornato riduce le superfici di attacco.

Questa scoperta evidenzia ancora una volta l'importanza di una gestione attenta dei plugin di terze parti e la necessità di una vigilanza costante nel panorama della sicurezza informatica di WordPress.