Día cero en listas de deseos: una sola solicitud puede provocar que tu sitio web se caiga para siempre

Más de 100 mil tiendas en línea basadas en WordPress están en riesgo debido a una vulnerabilidad crítica en el popular plugin TI WooCommerce Wishlist. Según los expertos de PatchStack, este módulo, que proporciona la funcionalidad de listas de deseos para WooCommerce, contiene una brecha peligrosa que permite a los atacantes cargar cualquier archivo en el servidor, incluidos scripts maliciosos.

La vulnerabilidad ha sido identificada como CVE-2025-47577 con la puntuación máxima de 10 en la escala CVSS. El problema afecta a la versión 2.9.2, vigente al momento de la publicación, así como a todas las versiones anteriores.

El plugin suele utilizarse junto con WC Fields Factory, una extensión que permite configurar los formularios de la tienda de manera flexible. Es precisamente esta combinación la que habilita la posibilidad de ataque: la vulnerabilidad se encuentra en la función tinvwl_upload_file_wc_fields_factory, ubicada en el archivo integrations/wc-fields-factory.php. En lugar de usar la verificación estándar del tipo de archivo cargado, prevista por WordPress, en el plugin se desactiva manualmente esta verificación con el parámetro «test_type» => false. Esto permite a un atacante subir un archivo PHP ejecutable al servidor y obtener acceso remoto para administrar el sitio.

El ataque no requiere autenticación: basta con que el plugin TI WooCommerce Wishlist esté instalado y activado junto con WC Fields Factory. Como resultado, la vulnerabilidad puede ser explotada para ejecutar código arbitrario, robar datos, comprometer el sitio o detener por completo el funcionamiento de la tienda.

Lo más preocupante es la ausencia de una actualización: al momento de la publicación no se ha lanzado ninguna versión corregida. Por ello, se recomienda encarecidamente a los propietarios de sitios desactivar y eliminar completamente el plugin hasta que se publique una actualización segura.

Este incidente vuelve a subrayar la importancia de seguir estrictamente las normas de seguridad en el desarrollo de extensiones. Ignorar los mecanismos de protección integrados de WordPress, como lo demuestra el ejemplo de la desactivación de la verificación de tipo de archivo, puede tener consecuencias a gran escala. Incluso un solo error de configuración puede convertirse en un punto de entrada para ataques que potencialmente afectan a decenas de miles de sitios.

En un entorno en el que los ataques son cada vez más sofisticados, los propietarios de recursos deben optar por la seguridad, incluso si eso implica desactivar temporalmente una función habitual. Los desarrolladores prometen informar rápidamente una vez que la actualización esté disponible, para que los propietarios de tiendas puedan restaurar la funcionalidad sin poner en riesgo la seguridad.