Один запрос — и ваш сайт уйдёт в нокаут. 0day в вишлистах

Популярный WordPress-плагин превратил интернет-магазины в открытую дверь

Более 100 тысяч сайтов на WordPress оказались под угрозой из-за критической уязвимости (CVE-2025-47577, CVSS 10/10) в плагине TI WooCommerce Wishlist. По данным PatchStack, баг позволяет загружать на сервер любые файлы, включая вредоносные скрипты, и получать полный доступ к управлению сайтом.

Уязвимость прячется в связке с плагином WC Fields Factory — в функции tinvwl_upload_file_wc_fields_factory (файл integrations/wc-fields-factory.php), где отключена стандартная проверка типа файлов. Атака не требует авторизации: достаточно, чтобы оба плагина были активны.

На момент публикации фикс не выпущен. Владельцам сайтов настоятельно рекомендуют отключить и удалить плагин до выхода обновления.

Этот случай снова показывает: игнорирование защитных механизмов WordPress может обернуться массовыми взломами и остановкой бизнеса. Безопасность должна быть приоритетом, даже если это значит временно пожертвовать удобством.