WordPress-магазины оказались под угрозой: хакеры нашли лазейку в плагине TI WooCommerce Wishlist

Эксперты в области кибербезопасности зафиксировали новую серьёзную уязвимость, ставшую угрозой для множества интернет-магазинов, построенных на WordPress. Под прицелом оказался популярный плагин TI WooCommerce Wishlist, с помощью которого покупатели формируют списки желаемых товаров. Но теперь именно эта функция может открыть доступ к полному контролю над сайтом.

Ключевая опасность заключается в уязвимости CVE-2025-47577, которая позволяет атакующим загружать произвольные файлы на сервер без каких-либо ограничений — в том числе вредоносные скрипты. Как отмечают специалисты, всё происходит без предварительной авторизации: доступ получают посторонние лица, даже не имеющие учетных записей на сайте.

Особую опасность представляет взаимодействие с другим модулем — WC Fields Factory, который расширяет настройки полей товаров. Вместе эти плагины создают «дыру» в защите: появляется возможность обойти встроенные фильтры безопасности и внедрить на сайт любой код.

Ситуацию усугубляет и тот факт, что плагин установлен более чем на 100 тысячах сайтов по всему миру — как на крупных e-commerce платформах, так и на небольших локальных интернет-магазинах. Для некоторых из них уязвимость может обернуться не только потерей прибыли, но и утечкой клиентских данных.

На момент публикации обновление с устранением проблемы не выпущено. Последняя версия плагина TI WooCommerce Wishlist была обновлена полгода назад. Поэтому специалисты рекомендуют администраторам временно отключить уязвимый компонент до выхода безопасной версии, а владельцам интернет-магазинов — следить за всеми обновлениями модулей и проводить регулярный аудит установленных расширений.

Как сообщает портал InfoBezopasnost.ru, риски остаются крайне высокими.