文/周峻佑 | 2025-05-29發表
熱門購物清單外掛TI WooCommerce Wishlist再傳重大漏洞!值得留意的是,軟體開發商對於研究人員通報漏洞不予理會的情況,已有前例,用戶最好尋求其他替代方案,以免電商網站曝險。
資安業者Patchstack指出,WordPress外掛程式TI WooCommerce Wishlist存在危險程度達到滿分10分的重大漏洞CVE-2025-47577,估計有10萬個網站受到影響。由於這項弱點尚未有修補程式,研究人員呼籲用戶最好暫時停用並刪除。
關於TI WooCommerce Wishlist的功能,主要是讓WooCommerce電商網站加入購買清單,由於這種功能通常能增加購物者下單的機會,幾乎可說是電商網站必備。值得一提的是,該外掛還能與WC Fields Factory等其他WooCommerce外掛搭配、整合使用,提供的客製化選單。此外掛程式有10萬網站採用,算是相當受到歡迎。
針對這次研究人員發現的漏洞,攻擊者只要觸發,就有機會在未經身分驗證的情況下,上傳惡意檔案到伺服器,目前最新版2.9.2的TI WooCommerce Wishlist,也受到影響。
研究人員於今年3月通報,但目前為止開發商並未回應,也沒有修補漏洞,於是他們決定公開揭露此事。值得留意的是,TI WooCommerce Wishlist被發現重大漏洞,開發商對於研究人員不予理會的情況,已非首例。去年9月,Patchstack揭露未經授權SQL注入漏洞CVE-2024-43917(CVSS風險值9.3),他們在7月通報之後就石沉大海,WordPress外掛程式審核團隊於9月12日暫時不開放下載。
線