Mais de 100 mil sites WordPress estão sob risco devido a uma falha crítica ainda não corrigida no plugin TI WooCommerce Wishlist, usado para permitir que clientes salvem e compartilhem produtos desejados em lojas virtuais. A vulnerabilidade, identificada como CVE-2025-47577, recebeu a pontuação máxima de gravidade na escala CVSS: 10.0.

Segundo pesquisadores, a falha permite que invasores não autenticados façam upload de arquivos maliciosos diretamente para o servidor, sem qualquer verificação. Isso ocorre porque a função vulnerável tinvwl_upload_file_wc_fields_factory usa o método nativo wp_handle_upload, mas desativa os parâmetros de segurança “test_form” e “test_type”, responsáveis por validar o tipo de arquivo e a origem da requisição. Com essa validação desativada, qualquer tipo de arquivo pode ser carregado, incluindo scripts PHP maliciosos que podem ser usados para execução remota de código (RCE).

No entanto, para que o ataque funcione, o site WordPress também precisa ter o plugin WC Fields Factory instalado e ativo, já que a função vulnerável só é acessível nessas condições. Até o momento, não há correção disponível, a recomendação para administradores de sites que utilizam o plugin é desativá-lo e removê-lo imediatamente. Desenvolvedores são orientados a evitar desabilitar as validações de segurança ao utilizar a função de upload do WordPress.