WordPress Wishlist Pluginの脆弱性 CVE-2025-47577：パッチ適用までの緩和策は削除のみ

WordPress TI WooCommerce Wishlist Plugin Flaw Puts Over 100,000 Websites at Risk of Cyberattack

2025/05/27 gbhackers — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン TI WooCommerce Wishlist に、深刻なセキュリティ脆弱性 CVE-2025-47577 が発見された。このプラグインは、WooCommerce ストアの運営者がオンライン・ショップに、ウィッシュ・リスト機能を追加するためのものであり、WC Fields Factory などのエクステンションと組み合わせて、フォームのカスタマイズ強化に使用されるケースが多い。

しかし、最新版のバージョン 2.9.2 (本稿執筆時点) および、それ以前の全バージョンには、認証を必要としない任意のファイル・アップロードの脆弱性 CVE-2025-47577 が存在し、このプラグインを使用する Web サイトに深刻なリスクをもたらしている。

現時点において、修正パッチは提供されていないため、ユーザーに対して強く推奨されるのは、プラグインの無効化もしくは完全に削除により、システムを保護することだ。

認証不要のファイル・アップロード脆弱性

この脆弱性は、プラグインのコード内の設計上の欠陥に起因する。具体的には、”integrations/wc-fields-factory.php” ファイル内の tinvwl_upload_file_wc_fields_factory 関数に、脆弱性が存在する。

この関数は、WordPress の wp_handle_upload メカニズムを利用しており、通常はファイル・タイプの検証が機能し、悪意のコンテンツのアップロードは防止される。

しかし、このプラグインでは ‘test_type’ => false のパラメーターが指定されており、この保護機能が無効化されている。その結果として攻撃者は、実行可能な PHP スクリプトなどを取り込む、任意のファイルのアップロードを達成する。その後に、サーバー上にアップロードされた悪意のファイルにダイレクトに操作する攻撃者は、リモート・コード実行 (RCE) を引き起こす可能性を手にする。

エクスプロイトの技術的詳細

このエクスプロイトは、tinvwl_meta_wc_fields_factory や tinvwl_cart_meta_wc_fields_factory といったヘルパー関数を通じてアクセス可能である。ただし、それらの悪用には、WC Fields Factory プラグインの有効化が前提となるため、エクスプロイトが可能な環境は限定される。ただし、依然として多くの Web サイトが、この脆弱性に晒されるという現実がある。攻撃者は認証を必要とせずに、悪意のコードをサーバへとアップロードし、サーバの侵害／データの窃取／サービスの運用の妨害などを引き起こせるため、影響を受ける WooCommerce ストアにとって深刻な問題となっている。

現時点において、この脆弱性に対する修正パッチが存在しないため、プラグインの削除以外に有効なリスク軽減策はなく、緊急性が極めて高まっている。

緩和策および対応方法

Patchstack の有料サービスを利用しているユーザーには、すでにこの脆弱性に対する保護が適用されている。また、無料の Community アカウントに登録すれば、月額 $5 の最小料金で一時的な保護が提供される。

さらに、プラグイン開発者やホスティング・プロバイダーに対して推奨されるのは、Patchstack のセキュリティ監査サービスおよび Enterprise API を活用し、大規模な防御体制の構築を検討することだ。

その一方で、WordPress コミュニティ全体として見れば、TI WooCommerce Wishlist 開発チームによる公式なアップデートの発表と、セキュアな機能を可能にする、修正版の提供が期待されている。

修正版が提供されるまでの間、ユーザーに対して強く推奨されるのは、当該プラグインの無効化／アンインストールを実施し、潜在的なサイバー攻撃から Web サイトを保護することである。

今回のインシデントが浮き彫りにするのは、プラグイン開発における厳格なセキュリティ実践の重要性である。

Patchstack のレポートによると、WordPress のデフォルト・コンフィグにおけるファイル検証機構の保護機能を無効化してしまう実装上の欠陥は、開発者にとって重要な教訓となる。その結果として、わずかなミスコンフィグにより、数万件規模の Web サイトが危険に晒される可能性が生じている。

常に進化するサイバー脅威への対応を迫られる、ストア・オーナーに求められる姿勢は、利便性よりもセキュリティを優先し、継続的な監視と迅速な対応の徹底である。

今後において、パッチが適用された安全なバージョンがリリースされ、アップデート情報が速やかに共有されることで、安全なウィッシュ・リスト機能の復元が進むことが期待される。

脆弱性 CVE-2025-47577 により、数多くのオンライン・ストアが危険な状況にあるようです。この記事の執筆時点では、修正パッチが提供されていません。したがって、緩和策は、このプラグインの無効化もしくは削除となっています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。