Vulnerabilidad crítica en complemento de WordPress

RESUMEN

El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica (CSIRT-UC) alerta sobre una vulnerabilidad crítica de Carga No Restringida de Archivos con Tipo Peligroso (CWE-434) en el plugin TI WooCommerce Wishlist para WordPress, en todas sus versiones hasta la 2.9.2 inclusive. Esta vulnerabilidad, identificada como CVE-2025-47577, permite a un atacante no autenticado subir archivos arbitrarios al servidor, lo que podría conducir a la ejecución remota de código y al compromiso total del sistema afectado. Actualmente, no existe un parche oficial por parte del desarrollador.

2. SOFTWARE AFECTADO

• Nombre del Software: TI WooCommerce Wishlist (Plugin de WordPress)
• Desarrollador: TemplateInvaders
• Versiones Afectadas: Todas las versiones hasta la 2.9.2 inclusive.
• Plataforma: WordPress (Plugin con más de 100.000 instalaciones activas)

3. DESCRIPCIÓN TÉCNICA DE LA VULNERABILIDAD

La vulnerabilidad reside en la función tinvwl_upload_file_wc_fields_factory, ubicada en el archivo integrations/wc-fields-factory.php. Esta función utiliza la utilidad wp_handle_upload de WordPress para gestionar la subida de archivos. Sin embargo, al invocar wp_handle_upload, se establece el parámetro 'test_type' en false. Esta configuración específica omite la validación del tipo de archivo por parte de WordPress, permitiendo así la carga de archivos con extensiones y tipos potencialmente peligrosos (ej. archivos PHP).

Condición para la Explotación: La vulnerabilidad es explotable únicamente si el plugin WC Fields Factory se encuentra instalado, activo, y la integración entre TI WooCommerce Wishlist y WC Fields Factory está habilitada en la configuración del plugin de wishlist.

4. IMPACTO

Un atacante remoto no autenticado puede explotar esta vulnerabilidad para subir archivos arbitrarios al servidor web donde se aloja el sitio WordPress afectado. Comúnmente, esto implica la subida de un "web shell" (un script malicioso que proporciona una interfaz de línea de comandos al atacante sobre el servidor). Las consecuencias de una explotación exitosa incluyen:

• Ejecución Remota de Código (RCE): El atacante puede ejecutar comandos arbitrarios en el servidor con los permisos del proceso del servidor web.
• Compromiso Total del Servidor: Acceso completo a los datos del sitio web, la base de datos, y potencialmente a otros recursos del servidor.
• Desfiguración del Sitio Web (Defacement).
• Uso del Servidor para Actividades Maliciosas: Como envío de spam, participación en ataques DDoS, o alojamiento de malware.

Dada la facilidad de explotación (no requiere autenticación ni interacción del usuario) y el impacto máximo en la confidencialidad, integridad y disponibilidad, la vulnerabilidad ha sido calificada con una puntuación CVSS de 10.0 (Crítica).

5. MITIGACIÓN Y SOLUCIONES ALTERNATIVAS

A la fecha de publicación de este boletín, el desarrollador del plugin (TemplateInvaders) no ha liberado una versión actualizada que corrija esta vulnerabilidad.

CSIRT-UC recomienda encarecidamente las siguientes acciones:

• Acción Inmediata Preferente: Desactivar y eliminar el plugin TI WooCommerce Wishlist de todas las instalaciones de WordPress hasta que una versión parcheada esté disponible y haya sido verificada.
• Parche Virtual (si aplica): Empresas como Patchstack ofrecen parches virtuales para sus clientes que pueden mitigar la explotación de esta vulnerabilidad. Evalúe esta opción si es cliente de dichos servicios.
• Medida de Contención Adicional (si no se puede desinstalar inmediatamente): Como medida temporal y menos segura, se podría intentar restringir la ejecución de scripts PHP y otros tipos de archivos peligrosos en el directorio de subidas de WordPress (usualmente /wp-content/uploads/). Sin embargo, esta medida puede ser compleja de implementar correctamente y no ofrece una protección completa.

Se recomienda priorizar la desactivación y eliminación del plugin.

6. INDICADORES DE COMPROMISO (IoCs)

• Revise los registros del servidor web en busca de peticiones POST inusuales a archivos relacionados con la funcionalidad de subida del plugin TI WooCommerce Wishlist o WC Fields Factory.
• Inspeccione el directorio de subidas de WordPress (/wp-content/uploads/ y sus subdirectorios, especialmente los relacionados con tinvwl/) en busca de archivos sospechosos con extensiones como .php, .phtml, .php5, o archivos con nombres inusuales que no correspondan a subidas legítimas de medios.

7. CRONOLOGÍA DE LA VULNERABILIDAD

• Reporte Inicial: 26 de marzo de 2025
• Divulgación Pública: 16 de mayo de 2025
• Publicación CVE por NVD: 19 de mayo de 2025

8. FUENTES Y REFERENCIAS

• NVD (National Vulnerability Database)
• Patchstack (Análisis y Parche Virtual)
• Patchstack (Base de Datos de Vulnerabilidades)
• Wiz (Análisis de la Vulnerabilidad)
• The Hacker News (Reporte)
• Wordfence (Detalles)
• Hispasec Una Al Día (Reporte en español)

Emitido por el Equipo de Respuesta a Incidentes de Seguridad Informática CSIRT-UC. Se insta a los administradores de sistemas a tomar las medidas necesarias con urgencia.