Origine : bjCSIRT
Numéro : 2025/ALERTE/044
Date de l’alerte : 05/06/2025
APERÇU :
Une vulnérabilité critique de téléversement de fichiers arbitraires affectant le plugin WordPress WooCommerce permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés.
DESCRIPTION :
TI WooCommerce Wishlist est un plugin de commerce électronique populaire pour WordPress, permettant aux utilisateurs de créer et de partager des listes de souhaits.
Ce plugin est affecté par une vulnérabilité libellée CVE-2025-47577, qui résulte d’une mauvaise implémentation de la fonction wp_handle_upload(). Certains mécanismes de protection sont absents dans cette dernière, permettant le téléversement de fichiers sans filtre. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant de téléverser des fichiers arbitraires, tels qu’un webshell PHP, pouvant ensuite être utilisé pour exécuter du code à distance et compromettre totalement le système ciblé.
Cette vulnérabilité est classée comme critique avec un score de sévérité de 10 selon le CVSS 3.1.
IMPACT :
- Atteinte à confidentialité des données ;
- Atteinte à l’intégrité des données;
- Atteinte à l’intégrité des données ;
- Exécution de code arbitraire.
SYSTÈMES AFFECTÉS :
- TI WooCommerce Wishlist : Versions 2.9.2 et antérieure.
MESURES À PRENDRE :
- Désactiver et supprimer le plugin TI WooCommerce Wishlist jusqu’à la publication d’un correctif officiel ;
- Vérifier les fichiers récemment téléversés pour détecter toute activité suspecte.
RÉFÉRENCES :
