热门购物清单插件TI WooCommerce Wishlist再传重大漏洞!值得留意的是,软件开发商对于研究人员通报漏洞不给理会的情况,已有前例,用户最好寻求其他替代方案,以免电商网站曝险。
安全企业Patchstack指出,WordPress插件程序TI WooCommerce Wishlist存在危险程度达到满分10分的重大漏洞CVE-2025-47577,估计有10万个网站受到影响。由于这项弱点尚未有修补程序,研究人员呼吁用户最好暂时停用并删除。
关于TI WooCommerce Wishlist的功能,主要是让WooCommerce电商网站加入购买清单,由于这种功能通常能增加购物者下单的机会,几乎可说是电商网站必备。值得一提的是,该插件还能与WC Fields Factory等其他WooCommerce插件搭配、集成使用,提供的定制化菜单。此插件程序有10万网站采用,算是相当受到欢迎。
针对这次研究人员发现的漏洞,攻击者只要触发,就有机会在未经身份验证的情况下,上传恶意文件到服务器,目前最新版2.9.2的TI WooCommerce Wishlist,也受到影响。
研究人员于今年3月通报,但目前为止开发商并未回应,也没有修补漏洞,于是他们决定公开披露此事。值得留意的是,TI WooCommerce Wishlist被发现重大漏洞,开发商对于研究人员不给理会的情况,已非首例。去年9月,Patchstack披露未经授权SQL注入漏洞CVE-2024-43917(CVSS风险值9.3),他们在7月通报之后就石沉大海,WordPress插件程序审核团队于9月12日暂时不开放下载。
