Взлом сайта, кражи данных, полная остановка работы интернет-магазина... Какие уязвимости приводят к таким проблемам ?
От уязвимости до взлома сайта
Увы, в последней версии ( 2.9.2) и версиях ниже данного плагина обнаружен серьёзные уязвимости. В частности, именно при использовании с WC Fields Factory плагин делает сайт открытым для произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы (в том числе, скрипты) на сервер без аутентификации. Уязвимость не исправлена в последней версии и отслеживается как CVE-2025-47577. Корень беды кроется в функции tinvwl_upload_file_wc_fields_factory
Уязвимость получила идентификатор CVE-2025-47577 с максимальной оценкой в 10 баллов по шкале CVSS. Всего по этой шкале, кстати, выделено 4 уровня уязвимостей
-
Низкий: 0.1-3.9
-
Средний: 4.0-6.9
-
Высокий: 7.0-8.9
-
Критический: 9.0-10.0
Проблемный момент состоит в том, что для того, чтобы атаковать сайт, даже не нужна авторизация: достаточно, чтобы плагин TI WooCommerce Wishlist был установлен и активирован вместе с WC Fields Factory.
Чем это чревато на практике?
- кражи данных,
- взлом сайта
- полная остановка работы магазина.
Что ещё почитать на тему безопасности сайтов?
- Управление безопасностью сайта: уязвимость готовых решений cторонних разработчиков на 1С-Битрикс.
- Взломали сайт на Битрикс? А вы обновили версию PHP, лицензию CMS и готового решения?
