Kritična sigurnosna ranjivost mogla bi ostaviti više od 100,000 WordPress stranica u opasnosti

Kritična sigurnosna ranjivost u popularnom WordPress dodatku

U svijetu WordPress-a, na popularnom dodatku TI WooCommerce Wishlist otkrivena je kritična sigurnosna ranjivost koja potencijalno izlaže stotine tisuća web stranica raznim rizicima, uključujući potpunu preuzimanje web stranica. Istraživači sigurnosti iz Patchstack-a izvijestili su da ranjivost omogućava napadačima da dođu do servera kroz flaw u uploadovanju datoteka, bez potrebe za autentifikacijom. Ova ranjivost se sada prati kao CVE-2025-47577 i ima ocjenu ozbiljnosti 10/10 (kritično).

Što je TI WooCommerce Wishlist?

TI WooCommerce Wishlist dodatak je namijenjen WooCommerce trgovinama, koji omogućava korisnicima stvaranje i upravljanje popisima želja, kao i spremanje i dijeljenje omiljenih proizvoda. Osim opcija za društveno dijeljenje, dodatak nudi AJAX funkcionalnost, mogućnost podrške za više popisa želja u premium verziji, email obavijesti i još mnogo toga.

Važnost ažuriranja

Prema podacima sa stranice The Hacker News, TI WooCommerce Wishlist ima više od 100,000 aktivnih instalacija, što znači da je potencijalna površina napada prilično velika. S obzirom na to da se radi o e-trgovinskim stranicama, gdje posjetitelji najčešće dolaze trošiti novac, rizik se dodatno povećava. Trenutna verzija dodatka je 2.9.2, koja je posljednji put ažurirana prije šest mjeseci.

Što učiniti?

Do trenutka pisanja ovog članka, zakrpa za ovu ranjivost još nije objavljena. Stoga se korisnicima koji se boje mogućeg napada savjetuje da onemoguće i uklone dodatak dok ne bude dostupan ispravak. Dobra vijest je da je uspješna eksploatacija moguća samo na web stranicama koje također imaju instaliran i aktiviran WC Fields Factory dodatak, te je integracija omogućena na TI WooCommerce Wishlist dodatku.

Što je WC Fields Factory?

WC Fields Factory je besplatan WooCommerce dodatak koji omogućava vlasnicima trgovina dodavanje prilagođenih polja na stranice proizvoda, varijacije, obrasce naplate i WordPress sučelje. Ovaj dodatak podržava različite tipove polja, uključujući tekst, broj, email, odabir datuma, i mnoge druge. Također omogućuje dinamičko prilagođavanje cijena na temelju unosa u polja, pravila za vidljivost polja i kontrole pristupa temeljenog na ulozi, uz mogućnost dizajniranja obrazaca povuci-i-spusti.

Zaključak

Sa stotinama tisuća potencijalno pogođenih web stranica, kritična ranjivost u TI WooCommerce Wishlist dodatku postavlja ozbiljan izazov za vlasnike e-trgovina. Kako biste zaštitili svoju web stranicu, važno je ostati informiran i poduzimati mjere predostrožnosti dok ne bude dostupno rješenje. Održavanje dodataka ažuriranim ključno je za sigurnost svih web stranica.