Lỗ hổng plugin TI WooCommerce Wishlist trong Wordpres

Lỗ hổng trong plugin TI WooCommerce Wishlist: Mối đe dọa nghiêm trọng với hơn 100.000 website WordPress

Gần đây, một lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng tuyệt đối (CVSS: 10) – CVE-2025-47577 – đã được phát hiện trong plugin TI WooCommerce Wishlist. Với hơn 100.000 website đang sử dụng, lỗ hổng này tạo điều kiện cho các cuộc tấn công chiếm quyền điều khiển hoàn toàn hệ thống từ xa, đặt ra cảnh báo đỏ cho cộng đồng quản trị website và nhà phát triển WordPress trên toàn thế giới.

1. Chi tiết kỹ thuật của lỗ hổng CVE-2025-47577

Lỗ hổng nằm trong hàm tinvwl_upload_file_wc_fields_factory, được định nghĩa trong tệp integrations/wc-fields-factory.php của plugin TI WooCommerce Wishlist. Dù sử dụng hàm wp_handle_upload() – một phương thức tiêu chuẩn trong WordPress để xử lý tải tệp – nhưng hàm này lại cố tình vô hiệu hóa kiểm tra định dạng tệp bằng cách thiết lập tham số test_type thành false.

Điều này khiến mọi loại tệp, bao gồm cả các tập tin thực thi như .php, có thể được tải lên mà không gặp bất kỳ kiểm soát nào từ hệ thống bảo mật mặc định của WordPress. Khi các tệp độc hại này được tải lên thành công, kẻ tấn công có thể thực thi mã độc từ xa (Remote Code Execution – RCE) và nhanh chóng chiếm quyền kiểm soát toàn bộ trang web.

2. Điều kiện khai thác và mức độ ảnh hưởng

Mặc dù đây là một lỗ hổng “không cần xác thực” (unauthenticated), điều kiện khai thác lại yêu cầu plugin WC Fields Factory phải được cài đặt và kích hoạt cùng với TI WooCommerce Wishlist. Khi hai plugin này cùng hoạt động, các hook như tinvwl_meta_wc_fields_factory hoặc tinvwl_cart_meta_wc_fields_factory sẽ gọi đến hàm chứa lỗ hổng, mở đường cho việc tải tệp độc hại.

Điều này phần nào giới hạn phạm vi khai thác. Tuy nhiên, với sự phổ biến cao của cả hai plugin, ước tính vẫn có hàng nghìn website đang trong tình trạng rủi ro cao, đặc biệt là các website thương mại điện tử vốn là mục tiêu hấp dẫn của tin tặc.

3. Tình trạng hiện tại và phản ứng của cộng đồng bảo mật

Đáng lo ngại, tính đến thời điểm hiện tại, phiên bản mới nhất (2.9.2) của TI WooCommerce Wishlist vẫn chưa được vá lỗ hổng. Trong khi chờ đợi bản cập nhật chính thức, cộng đồng bảo mật đã nhanh chóng đưa ra nhiều khuyến nghị khẩn cấp. Nền tảng bảo mật WordPress Patchstack xác nhận đã chủ động bảo vệ khách hàng trả phí khỏi lỗ hổng này và cũng cung cấp công cụ kiểm tra miễn phí cho cộng đồng.

Các chuyên gia cảnh báo rằng lỗ hổng này có thể bị khai thác hàng loạt trong thời gian ngắn tới nếu không có hành động phòng ngừa kịp thời. Đây không chỉ là vấn đề kỹ thuật, mà là rủi ro kinh doanh trực tiếp cho các doanh nghiệp vận hành website bị ảnh hưởng.

4. Khuyến nghị phòng tránh tạm thời TI WooCommerce Wishlist

Trong bối cảnh chưa có bản vá chính thức, quản trị viên website được khuyến nghị thực hiện ngay các bước sau:

• Gỡ bỏ plugin TI WooCommerce Wishlist khỏi hệ thống.

• Kiểm tra và xóa các tệp khả nghi trong thư mục tải lên, đặc biệt nếu plugin WC Fields Factory đang được sử dụng.

• Tạm thời sử dụng các plugin wishlist thay thế, được cập nhật và bảo trì thường xuyên.

• Cấu hình hệ thống để ngăn thực thi tệp từ thư mục upload và giới hạn định dạng tệp có thể tải lên.

• Theo dõi cập nhật chính thức từ nhà phát triển plugin để cài đặt bản vá sớm nhất có thể.

CVE-2025-47577 không chỉ là một lỗ hổng kỹ thuật, mà còn là lời cảnh báo về sự thiếu an toàn trong hệ sinh thái plugin WordPress khi các quy tắc bảo mật bị xem nhẹ. Chỉ một dòng mã bỏ qua kiểm tra định dạng tệp cũng đủ tạo điều kiện cho tấn công nghiêm trọng. Quản trị viên và nhà phát triển cần cảnh giác, tuân thủ nghiêm ngặt các tiêu chuẩn bảo mật và hành động kịp thời để bảo vệ hệ thống.

Trên đây là bài viết chia sẻ cho bạn về Lỗ hổng plugin TI WooCommerce Wishlist. Mong rằng những thông tin này sẽ hữu ích cho bạn

Xem thêm các bài viết hữu ích khác tại đây.

P.A Việt Nam cung cấp đa dạng các Plan Hosting đáp ứng yêu cầu của khách hàng

Hosting WordPress
Hosting Phổ Thông
Hosting Chất Lượng Cao

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/