TI WooCommerce Wishlist – Kritische Sicherheitslücke

Das WordPress-Plugin TI WooCommerce Wishlist ermöglicht es Online-Shops, die Kundenbindung zu verbessern und die Verkaufszahlen zu steigern, indem es Kunden Produkte in einer persönlicher Wunschliste speichern lässt. Zu den Hauptfunktionen zählen neben dem Erstellen und Verwalten von Wunschlisten, das Teilen derselben auf Social Media, sowie die Analyse der Produkte, die auf Wunschlisten anderer Online-Shop-Nutzer landen.

Derzeit erhält das WordPress-Plugin Aufmerksamkeit wegen einer kritischen Sicherheitslücke unter der Kennziffer CVE-2025-47577. Diese ermöglicht es Angreifern, beliebige Dateien hochzuladen und potenziell schädlichen Code auszuführen.

Die Schwachstelle betrifft alle Versionen des Plugins bis einschließlich 2.9.2. Sie kann nur ausgenutzt werden, wenn das WordPress-Plugin WC Fields Factory ebenfalls aktiv ist und mit TI WooCommerce Wishlist verknüpft ist. Angreifer können die Dateiüberprüfung umgehen und beispielsweise eine PHP-Datei hochladen, um Remote Code Execution (RCE) zu erreichen. Bislang ist kein Patch verfügbar, um die Sicherheitslücke zu schlissen. Die Entwickler haben bisher nicht auf Sicherheitsforscher reagiert.

RCE (Remote Code Execution) ist eine kritische Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Code auf einem fremden System auszuführen, ohne physischen Zugriff bspw. via Nutzername und Passwort zu haben.

• Verbreitung von Malware
  Ein kompromittiertes System kann genutzt werden, um weitere Geräte im Netzwerk zu infizieren.
• Datenverlust & Erpressung
  RCE wird oft für Ransomware-Angriffe genutzt, bei denen Daten verschlüsselt und Lösegeld gefordert wird.
• Volle Kontrolle über das System
  Angreifer können Schadsoftware installieren, Daten stehlen oder das System lahmlegen.