Patchstackは5月27日(現地時間)、「Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack」において、WordPress向け電子商取引プラグイン「WooCommerce」に欲しいもの一覧(ウィッシュリスト)を追加する人気のプラグイン「TI WooCommerce Wishlist」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、遠隔からシステムを乗っ取られる可能性がある。
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-47577 - 危険なタイプのファイル無制限アップロードの脆弱性。認証されていないリモートの攻撃者は、Webシェルを展開できる可能性がある(CVSSスコア: 10.0)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- TI WooCommerce Wishlist 2.9.2およびこれ以前のバージョン
影響と対策
WooCommerce向けウィッシュリストプラグイン「TI WooCommerce Wishlist」は、10万以上のWebサイトが利用している人気のプラグイン。執筆時点において修正パッチは提供されておらず、すべてのWebサイトが脆弱なバージョンを運用しているものとみられる。
発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Patchstackは3月下旬に脆弱性を報告しているが、ベンダーからの返答はなく修正パッチも存在しないとして、プラグインの速やかな無効化と削除を推奨している。