资安业者Patchstack指出，WordPress插件程序TI WooCommerce Wishlist存在重大层级的漏洞CVE-2024-43917，此漏洞允许任意用户在WordPress网站数据库运行不受限制的SQL查找，而且，攻击者利用这项弱点无须取得特殊权限，CVSS风险评为9.3分（后来NVD认为有9.8分）。值得留意的是，目前这项漏洞尚未得到修补，因此研究人员呼吁，网站管理员最好尽速停用并删除此插件程序。

这项插件程序的功能，就是能让网站管理者在WooCommerce购物网站快速设置愿望清单的机制，有超过10万个网站部署，算是同类型当中相当受到欢迎的插件程序。

而此重大层级漏洞发生的原因，在于SQL命令使用的特殊元素的不当处理所致，导致攻击者能在未经身分验证的情况下触发漏洞，研究人员也公布2种漏洞利用的概念性验证代码。

研究人员于今年7月18日进行通报，但开发商并未回应，也并未着手修补，WordPress插件程序审核团队于9月12日暂停提供下载。