WordPress TI WooCommerce Wishlist plagini orqali 100 mingdan ortiq sayt xavf ostida

Kiberxavfsizlik tadqiqotchilari tomonidan aniqlangan jiddiy zaiflik tufayli TI WooCommerce Wishlist plagini bilan ishlovchi 100 000 dan ortiq WordPress saytlari kiberhujum xavfiga duch kelmoqda. Bu xatolik kiberjinoyatchilarga hech qanday autentifikatsiyasiz — ya’ni saytga ro‘yxatdan o‘tmasdan ham — istalgan faylni yuklash imkonini beradi.

Ushbu zaiflikga CVE-2025-47577 raqami berilgan bo‘lib, unga maksimal xavfli daraja — 10.0 CVSS bahosi qo‘yilgan. Bu esa uni hozirgacha aniqlangan eng xavfli WordPress plagin muammolaridan biri sifatida tasniflaydi.

TI WooCommerce Wishlist plagini, odatda, WooCommerce asosidagi internet-do‘konlarga «orzu ro‘yxati» (wishlist) qo‘shish uchun ishlatiladi. Ammo versiyasi 2.9.2 va undan oldingi barcha versiyalarida quyidagi funksiya orqali zaiflik yuzaga keladi:

function tinvwl_upload_file_wc_fields_factory( $file ) {
    if (!function_exists( 'wp_handle_upload' ) ) {
        require_once( ABSPATH . 'wp-admin/includes/file.php' );
    }
    $upload = wp_handle_upload(
        $file,
        [
            'test_form' => false,
            'test_type' => false,
        ]
    );
    return $upload;
}

Ushbu kodda 'test_type' => false sozlamasi orqali fayl turini tekshirish butunlay o‘chirilgan, ya’ni foydalanuvchi .php, .exe yoki boshqa zararli fayllarni ham yuklay oladi. Agar bu fayl serverga joylashtirilsa va keyinchalik brauzer orqali ochilsa, hujumchi to‘liq tizimni egallashi mumkin.

Xavf darajasi va ta’sir doirasi

• TI WooCommerce Wishlist plagini juda keng tarqalgan: 100 000 dan ortiq faol o‘rnatilgan holat.
• Zaiflikdan foydalangan hujumchi PHP kodi orqali saytni butunlay egallab oladi.
• Ayniqsa, «WC Fields Factory» plagini bilan birgalikda o‘rnatilgan hollarda bu xatolik to‘liq ishlaydi.
• Plagin ishlab chiquvchilari 2 oydan buyon hech qanday yangilanish yoki tuzatish chiqarmagan, bu esa sayt administratorlarini o‘ta noqulay holatga tushirgan.

🛡️ Qanday chora ko‘rish kerak?

✅ TI WooCommerce Wishlist plagini ishlatayotgan foydalanuvchilarga ushbu plaginni darhol o‘chirish yoki almashtirish tavsiya etiladi.
✅ WC Fields Factory plagini bilan birgalikda ishlayotgan bo‘lsa — ikkalasini ham to‘xtatish zarur.
✅ Web-serverda wp-content/uploads yoki boshqa yuklash kataloglarini tekshirib chiqish va noma’lum fayllarni aniqlash lozim.
✅ Sayt xavfsizligini oshirish uchun WAF (Web Application Firewall) vositalarini faollashtirish, fayl yuklashlarni cheklash va noto‘g‘ri sozlamalarni auditdan o‘tkazish kerak.

TI WooCommerce Wishlist plagini orqali yuzaga kelgan ushbu zaiflik — WordPress asosidagi e-commerce saytlari uchun real va dolzarb tahdiddir. Har qanday autentifikatsiyasiz hujumchi zararkunanda faylni yuklab, butun saytni egallashi, foydalanuvchilarning ma’lumotlarini o‘g‘irlashi yoki saytni shifrlab qo‘yishi mumkin.

Hozirda hech qanday rasmiy yangilanish yo‘q, shuning uchun eng to‘g‘ri yo‘l — plaginni o‘chirib tashlash va xavfsiz muqobilga o‘tishdir.