TI WooCommerce Wishlistプラグインに認証不要のファイルアップロード脆弱性、修正未提供のまま公開中

2025年5月27日、セキュリティ研究者が「TI WooCommerce Wishlist」プラグインにおいて深刻な脆弱性（CVE-2025-47577）を発見し、公開されました。この脆弱性により、認証なしに任意のファイルをアップロード可能となることが判明しており、CVSSスコアは満点の10.0が与えられています。

脆弱性の対象バージョン

• バージョン2.9.2およびそれ以前

なお「WC Fields Factory」プラグインが有効である場合にのみ悪用が可能です。開発者からの修正パッチは提供されていませんので利用停止をお勧めします。

プラグイン概要

「TI WooCommerce Wishlist」は、WordPress上で稼働するWooCommerceにウィッシュリスト機能を追加するプラグインで、アクティブインストール数は10万以上。また、WC Fields Factoryなどの他の拡張機能との連携も可能で、カスタムフィールドの追加やフォーム機能の強化が可能です。

脆弱性の詳細

問題は、tinvwl_upload_file_wc_fields_factory()関数に起因します。この関数では、WordPressのwp_handle_upload()関数を使用していますが、**ファイル形式の検証を明示的に無効化（'test_type' => false）**する設定が含まれており、任意のファイル形式を通過させてしまいます。

$upload = wp_handle_upload(
$file,
[
'test_form' => false,
'test_type' => false,
]
);

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 Advanced Custom Fields (ACF)でクロスサイトスクリプティングの脆弱性（CVE-2024-45429) Windows MSHTMLの脆弱性が１年以上サイバー攻撃に悪用されていた（CVE-2024-38112） Volt TyphoonがVersa Director のゼロデイ脆弱性を悪用し不正アクセス Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) Pythonのフレームワーク Djangoで深刻な脆弱性に対応するセキュリティパッチがリリース(CVE-2024-53908,CVE-2024-53907) ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) PHPのLivewireで108万件利用されているライブラリ Voltで脆弱性(CVE-2025-27517) MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。