WordPress zählt weltweit zu den beliebtesten Content-Management-Systemen und dient als Grundlage für Millionen von Websites, darunter zahlreiche Onlineshops und E-Commerce-Plattformen. Plugins sind dabei ein unverzichtbares Werkzeug, um den Funktionsumfang von WordPress maßgeschneidert zu erweitern. Ein besonders weit verbreitetes Plugin im Bereich Online-Shops ist das TI WooCommerce Wishlist, das Kunden ermöglicht, Produkte auf Wunschlisten zu speichern und diese in sozialen Netzwerken zu teilen. Doch genau dieses Plugin steht aktuell massiv im Fokus der Sicherheitsforschung, denn es wurde eine kritische Sicherheitslücke entdeckt, die das Risiko für Hunderttausende von WordPress-Websites erheblich erhöht. Die Sicherheitslücke trägt die Kennung CVE-2025-47577 und wurde von Sicherheitsforscher John Castro im Rahmen seiner Analyse bei Patchstack publik gemacht.
Die Schwachstelle wurde mit dem höchsten Schweregrad bewertet, einem CVSS-Score von 10.0, was auf eine äußerst kritische Gefahr hinweist. Das Hauptproblem liegt in einer Funktion namens "tinvwl_upload_file_wc_fields_factory" des TI WooCommerce Wishlist Plugins. Dabei kommt eine native WordPress-Funktion namens "wp_handle_upload" zum Einsatz, die eigentlich dazu dienen soll, den Upload von Dateien sicher zu überprüfen und zu validieren. Jedoch werden innerhalb dieser Funktion die Sicherheitschecks "test_type" und "test_form" auf "false" gesetzt.
Dies bedeutet, dass weder der MIME-Typ der hochgeladenen Datei überprüft wird, noch eine Überprüfung zum Formular-Parameter stattfindet. Was auf den ersten Blick wie ein kleiner Fehler in der Programmierung wirkt, hat weitreichende Folgen. Durch die Deaktivierung der Validierungsprüfungen können Angreifer beliebige Dateien, einschließlich bösartiger PHP-Skripte, ohne Authentifizierung auf den Server hochladen. Dies ist insbesondere gefährlich, da die hochgeladenen Dateien direkt über den Webserver ausführbar sind, was eine Remote Code Execution (RCE) ermöglicht. Im schlimmsten Fall könnten Angreifer die komplette Kontrolle über die betroffene Webseite übernehmen, Datendiebstahl betreiben, weitere Schadsoftware nachladen oder die Webseite für Phishing und andere Cyberkriminalität missbrauchen.
Derzeit sind alle Versionen des TI WooCommerce Wishlist Plugins bis einschließlich der Version 2.9.2, die am 29. November 2024 veröffentlicht wurde, von der Sicherheitslücke betroffen. Eine offizielle Korrektur oder Patchseitens der Entwickler liegt zum jetzigen Zeitpunkt noch nicht vor.
Das Risiko ist jedoch besonders hoch, weil die betroffene Funktion nur dann angreifbar ist, wenn zusätzlich das Plugin WC Fields Factory aktiv ist und die Integration mit dem Wishlist Plugin aktiviert wurde. Dennoch sind über 100.000 WordPress-Installationen weltweit anfällig für Angriffe durch diese Schwachstelle. Die Kombination aus einem beliebten Plugin und einer so kritischen Sicherheitslücke stellt für Webseitenbetreiber eine ernste Bedrohung dar. Viele Betreiber von WordPress-Onlineshops sind sich der Gefahr möglicherweise nicht bewusst, insbesondere wenn sie das WC Fields Factory Plugin in Kombination mit dem TI WooCommerce Wishlist nutzen.
In einigen Fällen wird diese Kombination verwendet, um zusätzliche Produktoptionen oder individuelle Felder im Warenkorb zu ermöglichen, was die Funktionalität der Seite erhöht – jedoch auf Kosten der Sicherheit. Sicherheitsforscher und Unternehmen wie Patchstack empfehlen Website-Betreibern dringend, das betroffene Plugin vorerst zu deaktivieren oder ganz zu löschen, bis ein offizieller Patch veröffentlicht wird. Sicherheitslücken mit CVSS 10.0 dürfen nicht auf die leichte Schulter genommen werden, denn sie bieten Angreifern eine nahezu perfekte Grundlage, um Schaden anzurichten. Außerdem sollten Betreiber regelmäßig überprüfen, welche Plugins aktiv sind und ob diese aktuell und sicher sind.
Die Ursache der Sicherheitslücke liegt im unsachgemäßen Umgang mit der WordPress-Funktion "wp_handle_upload". Diese Funktion sollte eigentlich dafür sorgen, dass nur Dateien einer zugelassenen MIME-Typ-Liste akzeptiert und verarbeitet werden. Durch das Setzen von "test_type" auf "false" wird diese Prüfung umgangen. Ebenso wird mit "test_form" die Überprüfung, ob das korrekte Formularfeld für den Upload genutzt wurde, deaktiviert. Kombinationen solcher Parametereinstellungen öffnen Angreifern Tür und Tor für verschiedenste Formen von Angriffen.
Eine mögliche Angriffsmethode besteht darin, eine Datei mit reinem PHP-Code hochzuladen, der etwa beim Aufruf eines bestimmten URLs ausgeführt wird. Ein Angreifer könnte damit beliebige Befehle auf dem Server ausführen, beispielsweise neue Benutzer mit Administratorrechten anlegen, Datenbanken auslesen, Passwörter stehlen oder Malware auf der Seite verbreiten. Diese Szenarien haben bereits in der Vergangenheit zu zahlreichen kompromittierten Webseiten geführt. Die Herausforderung für WordPress-Administratoren besteht darin, ständig wachsam zu bleiben und ihre Installation sowie Plugins aktuell zu halten. In diesem Fall verschärft sich die Lage, weil die Schwachstelle in einer äußerst populären Kombination von Plugins liegt und zeitnah ein Patch bereitgestellt werden muss.
Bis dahin sind präventive Maßnahmen wie Deaktivierung und Kontrolle der Plugins die einzigen effektiven Mittel. Ausblick und Empfehlungen für Website-Betreiber zeigen, dass in der Welt von WordPress Sicherheit ein kontinuierlicher Prozess sein muss. Neben der regelmäßigen Überprüfung auf neue CVEs sollten Backups angefertigt und Sicherheitsplugins installiert werden, um unerwünschte Aktivitäten rechtzeitig zu erkennen und zu stoppen. Die enge Zusammenarbeit mit Plugin-Herstellern ist ebenfalls entscheidend, damit Schwachstellen möglichst schnell geschlossen werden. Das Beispiel des TI WooCommerce Wishlist Plugins illustriert eindrucksvoll, wie eine kleine Unachtsamkeit im Quellcode einer hochgradig genutzten Komponente zu einem erheblichen Sicherheitsrisiko für zahlreiche Websites führen kann.
Da WordPress-Systeme oft gezielt von Cyberkriminellen ins Visier genommen werden, müssen Betreiber solche Warnungen sehr ernst nehmen und zügig handeln. Neben der technischen Perspektive sollte auch das Bewusstsein in der WordPress-Community gestärkt werden, um Sicherheitslücken offen zu kommunizieren und schnell zu beheben. Die Veröffentlichung der Schwachstelle durch Patchstack ermöglicht einen besseren Überblick über die Bedrohung und bietet gleichzeitig die Chance, Sicherheitsempfehlungen zu verbreiten und die Nutzer zu schützen. Abschließend bleibt festzustellen, dass bis zur Veröffentlichung eines offiziellen Sicherheitsupdates alle betroffenen Nutzer des TI WooCommerce Wishlist Plugins dringend dazu angehalten sind, den Einsatz des Plugins zu überdenken, auf alternativen Lösungen auszuweichen oder zumindest restriktive Sicherheitsmaßnahmen einzuführen. Die Gefahrenlage darf unter keinen Umständen unterschätzt werden, denn der CVSS Score von 10.
0 ist ein klarer Hinweis auf eine Schwachstelle mit maximalem Schadpotenzial.
