محققان امنیت سایبری آسیب‌پذیری بحرانی و بدون وصله‌ای را در افزونه TI WooCommerce Wishlist برای وردپرس کشف کرده‌اند که می‌تواند توسط مهاجمان غیرمجاز برای آپلود فایل‌های دلخواه مورد سوءاستفاده قرار گیرد. این افزونه که بیش از ۱۰۰ هزار نصب فعال دارد، ابزاری است که به مشتریان سایت‌های تجارت الکترونیک اجازه می‌دهد محصولات مورد علاقه خود را برای بعداً ذخیره کرده و در شبکه‌های اجتماعی به اشتراک بگذارند.

آسیب‌پذیری با شناسه CVE-2025-47577 و امتیاز CVSS برابر ۱۰.۰ تمام نسخه‌های افزونه تا و شامل نسخه ۲.۹.۲ منتشر شده در ۲۹ نوامبر ۲۰۲۴ را تحت تأثیر قرار می‌دهد. مشکل در تابع “tinvwl_upload_file_wc_fields_factory” قرار دارد که پارامترهای “test_form” و “test_type” را روی false تنظیم می‌کند و باعث دور زدن اعتبارسنجی نوع فایل می‌شود. برای بهره‌برداری موفق، افزونه WC Fields Factory باید نصب و فعال باشد. در حال حاضر هیچ وصله‌ای در دسترس نیست و به کاربران توصیه می‌شود افزونه را غیرفعال کرده و از سایت خود حذف کنند.