10万以上のユーザーがいるWordPressのWooCommerceプラグイン「TI WooCommerce Wishlist」に、深刻な脆弱性(CVE-2025-47577)が発見されました。
対象バージョンは2.9.2およびそれ以前で、WC Fields Factoryプラグインが有効な場合に、認証不要で任意のファイルをアップロードできる欠陥が見つかっています。
この記事では、プラグイン「TI WooCommerce Wishlist」の脆弱性をはじめ、その内容と対策を詳しく解説します。
普段からTI WooCommerce Wishlistを使用されている方、具体的な対策を知りたい方は、ぜひ最後までお読みください。
目次
TI WooCommerce Wishlistの脆弱性
WooCommerce専用のWordPressプラグイン「TI WooCommerce Wishlist」の脆弱性は、バージョン2.9.2およびそれ以前のものに影響を与える可能性があります。
内容は、認証不要で任意のファイルアップロードを可能にする欠陥です。WC Fields Factoryプラグインが有効になっていると、攻撃者によってリモートからコード実行(RCE)されるリスクがあります。
この問題のCVSSスコアは最高の10.0であり、10万以上のアクティブインストールに影響を与える可能性があるとされています。そのため、ユーザーは最新バージョンへのアップデートが必須です。
TI WooCommerce Wishlistの脆弱性におけるタイムライン
TI WooCommerce Wishlistの脆弱性における発見から現在までの流れは、以下のとおりです。
- 2025年3月、脆弱性(CVE-2025-47577)が発見される
- 2025年5月、セキュリティアドバイザリ記事の公開
- 2025年6月、修正パッチが適用されたバージョン2.10.0がリリースされる
脆弱性の発見から2ヶ月ほどは、ベンダーからの具体的な回答はありませんでした。しかし、現在は問題が修正された最新バージョンがリリースされています。
TI WooCommerce Wishlistの脆弱性を対策する方法
TI WooCommerce Wishlistの脆弱性を対策する方法は、以下のとおりです。
- 最新バージョンへのアップデート
- TI WooCommerce Wishlistプラグインの無効化と削除
- WC Fields Factoryとの連携解除
- セキュリティサービスの導入
- WAF(Web Application Firewall)の導入
- 定期的なバックアップの取得と復旧計画の策定
それぞれ詳しく見ていきましょう。
最新バージョンへのアップデート
2025年6月5日、脆弱性が修正されたバージョン2.10.0がリリースされました。
修正内容は、test_typeプロセスからの、wp_handle_upload()パラメータの削除です。
参照元:Changeset 3306868 for ti-woocommerce-wishlist/trunk
ベンダーによる速やかな回答がなかったため、プラグインを削除して対策した方は少なくないかもしれません。しかし、現在は最新バージョンによる修正が行われているので、安心して利用できます。
TI WooCommerce Wishlistプラグインの無効化と削除
TI WooCommerce Wishlistプラグインを継続して利用しない場合は、無効化と削除がベストな対策といっていいでしょう。
今回の脆弱性は、攻撃者が認証なしに任意のファイルをアップロードできるため、深刻なリスクをもたらす可能性があります。問題を回避したい場合は、プラグインの無効化と削除が有効です。
WC Fields Factoryとの連携解除
今回の脆弱性は「WC Fields Factory」プラグインが有効の場合にのみ、悪用が可能とされています。そのため、TI WooCommerce Wishlistプラグインを無効化できない状況にあるなら、プラグインとの連携を解除するのが効果的です。
そうすれば、悪用条件を取り除けます。
ただし、この対策は根本的な解決にはなりません。最終的には、プラグインの無効化や削除を検討する必要があります。
セキュリティサービスの導入
今後の対策を立てる際に検討してほしいのが、セキュリティサービスの導入です。
特に、TI WooCommerce Wishlistプラグインの脆弱性を公開した「Patchstack」は、さまざまな脆弱性に対する保護が適用されます。
サービスは有料ですが、無料のCommunityアカウントに登録すると、月額$5の最小料金で一時的な保護が提供される可能性もあります。これは、ベンダーからの修正パッチが提供されるまでの緩和策としては有効です。
WordPressプラグインの安全性を向上したい方は、セキュリティサービスの導入を検討しましょう。
WAF(Web Application Firewall)の導入
TI WooCommerce Wishlistの脆弱性は、悪意のあるファイルのアップロードを許してしまうため、WAF(Web Application Firewall)の導入が効果的です。
WAFとは、Webアプリケーションへの不正なアクセスや攻撃を検知し、ブロックする役割を果たすファイアウォールです。これにより、任意のコード実行(RCE)の試みなど、悪意のある通信を未然に防げる可能性が高まります。
ただし、完全に防げるわけではありません。セキュリティの向上を目指すなら、検討する価値のある要素といえるでしょう。
定期的なバックアップの取得と復旧計画の策定
WordPressサイトが、使用中のプラグインの脆弱性やその他の攻撃によって侵害された場合に備え、定期的なバックアップの取得と復旧計画を立てておきましょう。
特にWordPressのファイルやデータベース、設定などの定期的なバックアップは欠かせません。また、バックアップからの迅速な復旧計画を事前に策定しておけば、被害発生時のダウンタイムを最小限に抑え、サービスを早い段階で再開できます。
万が一の事態に備え、WordPressサイト運用の安全対策を立ててください。
TI WooCommerce Wishlistの代替プラグイン3選
TI WooCommerce Wishlistの代替として、機能性・ユーザー評価・更新頻度を総合的に考慮したおすすめのプラグインは3つあります。
- YITH WooCommerce Wishlist
- WooCommerce Wishlists (公式拡張)
- WPC Smart Wishlist for WooCommerce
それぞれ詳しく解説します。
YITH WooCommerce Wishlist
YITH WooCommerce Wishlistはフリーミアムモデルの人気プラグインで、高度なカスタマイズ(ボタン位置、デザイン調整)、複数ウィッシュリストの作成・管理、ソーシャル共有機能をサポートしています。
さらに、多言語対応(WPML互換)や100以上のテーマ・プラグインとの互換性があり、モバイル最適化されたプラグインです。
WooCommerce Wishlists(公式拡張)
WooCommerce Wishlistsは、WooCommerceの公式プレミアムプラグイン(年間89)です。ゲストと登録ユーザーが無制限のウィッシュリストを作成できるほか、プライバシー制御やグループ製品対応を特徴としています。
結婚式や出産祝いなどのレジストリサイトに最適で、30日間の返金保証付きです。
公式プラグインなので、安全性を重視するなら最善の選択肢といえるでしょう。
WPC Smart Wishlist for WooCommerce
WPC Smart Wishlist for WooCommerceは、無料版でも基本機能(「ほしい物リスト」ボタンの追加、管理画面)を使用できるプラグインです。プレミアム版では、高度な分析や自動メール通知機能が追加されます。
軽量かつ設定が簡易なため、モバイルフレンドリーな設計が多くのユーザーから評価されています。
WPC Smart Wishlist for WooCommerce
まとめ
TI WooCommerce Wishlistユーザーは、修正パッチが適用されている最新バージョンへアップデートしましょう。プラグインを継続して使用しない場合は、プラグインの無効化または削除を実施してください。
今回の脆弱性を放置すると、さまざまなリスクをもたらす可能性があります。
今後も新たな脆弱性が発見されるかもしれないので、公式情報やWordPressプラグイン情報は逐次確認するべきです。
WordPressで作成できる。
コメント