WooCommerce Wishlist插件漏洞CVE-2024-43917

WordPress 是采用PHP语言开发的开源发布平台，开发者在支持PHP和MySQL数据库的服务器上架设属于自己的网站。

WordPress 最初发布于2003年，历经二十余年的迭代发展，目前已然成为了全世界最受欢迎的内容管理系统（CMS）。

WordPress作为开源且免费的CMS，任何人都可以免费安装、使用和修改，而且拥有许多三方开发的免费模板和插件。

TI WooCommerce Wishlist Plugin是WordPress诸多备受追捧的免费增值插件之一，目前已有超过千万网站安装恶使用。

一、基本情况

通过TI WooCommerce Wishlist插件，网站客户可以轻松使用创建愿望清单并快速添加产品，实现愿望自己的清单功能。

通过该插件，网站上的各类产品都会有个“加入愿望清单”按钮，用户可以在插件创建的专门页面上看到自己的愿望清单。

这样就使得网站客户可按照类别、标签、分类和价格来筛选产品，从而快速找到自己想要的东西，降低跳出并提升转化。

TI WooCommerce Wishlist Plugin是一个免费增值插件，部分功能免费、高级版本起价每年79美元提供一年更新和支持。

不过，日前安全专家监测到TI WooCommerce Wishlist插件存在一个严重的安全漏洞，可能使超过10万个网站面临威胁。

二、漏洞分析

安全专家监测到TI WooCommerce Wishlist存在一个严重的安全漏洞，漏洞被标记为 CVE-2024-43917，CVSS评分9.3。

CVE-2024-43917 漏洞是一项严重的SQL注入漏洞，影响到广泛用于WordPress网站的 TI WooCommerce Wishlist 插件。

该漏洞源于插件代码中的SQL注入问题，未经身份验证的攻击者利用该漏洞可执行任意SQL查询导致网站面临恶意攻击。

因此，攻击者可利用此漏洞绕过安全措施并操纵网站的数据库，导致数据泄露、篡改甚至完全接管网站，危害及其严重。

截至目前， TI WooCommerce Wishlist Plugin v2.8.2版本仍未修复漏洞，相关用户需要认真考量是否停用并删除该插件。

在Patchstack的 Ananda Dhakal 发表的详细技术报告中，进一步强调了该漏洞的严重性和迫切，建议务必采取相应措施。

毕竟不及时进行处理的话，该插件可能导致使网站暴露在重大安全风险中，攻击者可能借此攻占数据库并访问敏感信息。

三、影响范围

WordPress TI WooCommerce Wishlist Plugin <=2.8.2

四、修复建议

截至目前该漏洞暂未得到修复，因此网站管理员和站长在保护网站安全和给与用户便利及提升转化方面将面临两难抉择。

但从网站安全而言，建议网站主或管理员应先禁用该插件，等待开发商修复该漏洞，避免网站数据泄露造成的严重后果。

就国内网络安全方面法律而言，不履行网络安全保护义务是违法行为，公安机关网安部门对该行为打击力度在持续加大。

五、参考链接

https://securityonline.info/cve-2024-43917-cvss-9-3-unpatched-sqli-flaw-in-ti-woocommerce-wishlist-threatens-100000-sites/