Patchstackは5月27日(現地時間)、「Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack」において、WordPress向け電子商取引プラグイン「WooCommerce」に欲しいもの一覧(ウィッシュリスト)を追加する人気のプラグイン「TI WooCommerce Wishlist」から緊急の脆弱性が発見されたと報じた。

この脆弱性を悪用されると、遠隔からシステムを乗っ取られる可能性がある。

  • Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack

    Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-47577 - 危険なタイプのファイル無制限アップロードの脆弱性。認証されていないリモートの攻撃者は、Webシェルを展開できる可能性がある(CVSSスコア: 10.0)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • TI WooCommerce Wishlist 2.9.2およびこれ以前のバージョン

影響と対策

WooCommerce向けウィッシュリストプラグイン「TI WooCommerce Wishlist」は、10万以上のWebサイトが利用している人気のプラグイン。執筆時点において修正パッチは提供されておらず、すべてのWebサイトが脆弱なバージョンを運用しているものとみられる。

発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。Patchstackは3月下旬に脆弱性を報告しているが、ベンダーからの返答はなく修正パッチも存在しないとして、プラグインの速やかな無効化と削除を推奨している。