LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 10 Dicembre 2025: 168 Vulnerabilità, 13 Critiche Senza Patch

6 min di lettura
LOUD Team
Report Sicurezza WordPress – 10 Dicembre 2025: 168 Vulnerabilità, 13 Critiche Senza Patch

🚨 Allarme rosso: vulnerabilità critiche

Questa settimana sono state identificate 13 vulnerabilità di gravità critica o alta su plugin con più di 10.000 installazioni attive. Alcune di queste rappresentano rischi immediati per la sicurezza del tuo sito WordPress.

Starter Templates

  • Installazioni: 2.000.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13065
  • ✅ Soluzione: Aggiorna alla versione 4.4.42

SureMail

  • Installazioni: 200.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13516
  • ✅ Soluzione: Aggiorna alla versione 1.9.1

Advanced Custom Fields: Extended

  • Installazioni: 100.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-13486
  • ✅ Soluzione: Aggiorna alla versione 0.9.2

10Web Booster

  • Installazioni: 90.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-13377
  • ✅ Soluzione: Aggiorna alla versione 2.32.11

All-in-One Video Gallery

  • Installazioni: 20.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12966
  • ✅ Soluzione: Aggiorna alla versione 4.6.4

Frontend Admin by DynamiApps

  • Installazioni: 10.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-13342
  • ✅ Soluzione: Aggiorna alla versione 3.28.21

Widgets for Google Reviews

  • Installazioni: 800.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12510
  • ✅ Soluzione: Aggiorna alla versione 13.2.5

Backup Migration

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12394
  • ✅ Soluzione: Aggiorna alla versione 2.0.0

Kadence WooCommerce Email Designer

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13387
  • ✅ Soluzione: Aggiorna alla versione 1.5.18

Rich Shortcodes for Google Reviews

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12499
  • ✅ Soluzione: Aggiorna alla versione 6.8.1

WP Social Ninja

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13007
  • ✅ Soluzione: Aggiorna alla versione 4.0.0

Visualizer: Tables and Charts Manager

  • Installazioni: 20.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12483
  • ✅ Soluzione: Aggiorna alla versione 3.11.13

Cost Calculator Builder

  • Installazioni: 30.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-12529
  • ✅ Soluzione: Aggiorna alla versione 3.6.4

⛔ Vulnerabilità critiche senza patch

I seguenti plugin popolari presentano vulnerabilità senza alcuna correzione disponibile. Si raccomanda la disattivazione immediata fino al rilascio di un aggiornamento di sicurezza.

Happy Addons for Elementor

  • Installazioni: 400.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-63077
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Flex QR Code Generator

  • Installazioni: 50+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12673
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

PostGallery

  • Installazioni: Non specificato
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13543
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

User Verification

  • Installazioni: Non specificato
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-12374
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Application Passwords

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13308
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Broken Link Manager

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12629
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Clikstats

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13513
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

CSV Sumotto

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13894
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

DB Access

  • Installazioni: Non specificato
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13000
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

dream gallery

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13621
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Jabbernotification

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13622
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

myLCO

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13626
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Nouri.sh Newsletter

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13515
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Projectopia

  • Installazioni: Non specificato
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-59133
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WordPress eCommerce Plugin – Studiocart

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2024-14015
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Time Sheets

  • Installazioni: Non specificato
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2013-6880
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Twitscription

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13623
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

User Generator and Importer

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-12879
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Live Sales Notification for Woocommerce – Woomotiv

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13137
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WP-SOS-Donate

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13625
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

📋 Altri aggiornamenti importanti (gravità media)

I seguenti plugin con più di 10.000 installazioni presentano vulnerabilità di gravità media. Anche se meno urgenti, è consigliato aggiornarli quanto prima.

Custom Post Type UI

  • Installazioni: 1.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12826
  • Soluzione: Aggiorna alla versione 1.18.1

Autoptimize

  • Installazioni: 900.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13401
  • Soluzione: Aggiorna alla versione 3.1.14

Fluent Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-13748
  • Soluzione: Aggiorna alla versione 6.1.8

Post SMTP

  • Installazioni: 400.000+
  • Vulnerabilità: Broken Access Control (2 CVE)
  • CVE: 2025-67563, 2025-12887
  • Soluzione: Aggiorna alla versione 3.6.2

PDF Invoices & Packing Slips for WooCommerce

  • Installazioni: 300.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-67589
  • Soluzione: Aggiorna alla versione 5.0.0

Beaver Builder Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control (2 CVE)
  • CVE: 2025-12782, 2025-11726
  • Soluzione: Aggiorna alla versione 2.9.4.1

Image Gallery – Photo Grid & Video Gallery (Modula)

  • Installazioni: 100.000+
  • Vulnerabilità: Arbitrary File Upload/Deletion
  • CVE: 2025-13646, 2025-13645
  • Soluzione: Aggiorna alla versione 2.13.3

HUSKY – Products Filter Professional

  • Installazioni: 100.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-13109
  • Soluzione: Aggiorna alla versione 1.3.7.3

WP 2FA

  • Installazioni: 90.000+
  • Vulnerabilità: Bypass Vulnerability
  • CVE: 2025-12628
  • Soluzione: Aggiorna alla versione 3.0.0

ShopEngine Elementor WooCommerce Builder

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-12358
  • Soluzione: Aggiorna alla versione 4.8.6

Wp Social Login and Register

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13620
  • Soluzione: Aggiorna alla versione 3.1.4

Tag, Category, and Taxonomy Manager

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control + SQL Injection
  • CVE: 2025-13354, 2025-13359
  • Soluzione: Aggiorna alla versione 3.41.0

FunnelKit – Funnel Builder for WooCommerce

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-66067
  • Soluzione: Aggiorna alla versione 3.13.1.3

Envo Extra

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-66066
  • Soluzione: Aggiorna alla versione 1.9.12

Timetable and Event Schedule by MotoPress

  • Installazioni: 30.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-12954
  • Soluzione: Aggiorna alla versione 2.4.16

Quiz Maker

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-67595
  • Soluzione: Aggiorna alla versione 6.7.0.83

Thim Kit for Elementor

  • Installazioni: 20.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-67594
  • Soluzione: Aggiorna alla versione 1.3.4

BlockArt Blocks

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13697
  • Soluzione: Aggiorna alla versione 2.2.14

Business Directory Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-67596
  • Soluzione: Aggiorna alla versione 6.4.20

Nexter Extension

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13731
  • Soluzione: Aggiorna alla versione 4.4.2

Export All Posts, Products, Orders

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-13606
  • Soluzione: Aggiorna alla versione 2.20

📊 Riepilogo numerico della settimana

  • WordPress Core: Nessuna vulnerabilità (versione 6.9 “Gene” rilasciata il 2 dicembre 2024)
  • Plugin totali analizzati: 168 (77 patchati, 91 non patchati)
  • Temi: 2 vulnerabilità patched
  • Vulnerabilità critiche: 13 con patch disponibile + numerose senza patch
  • Vulnerabilità high: Oltre 30 identificate
  • Vulnerabilità medium: La maggioranza del totale

✅ Azioni raccomandate

  1. Immediata: Disattiva i plugin senza patch elencati nella sezione “Allarme Rosso” se installati sul tuo sito
  2. Urgente: Aggiorna tutti i plugin con vulnerabilità critiche/high che hanno patch disponibili
  3. Prioritaria: Pianifica l’aggiornamento dei plugin con vulnerabilità medie entro 7 giorni
  4. Preventiva: Esegui un backup completo del sito prima di qualsiasi aggiornamento
  5. Monitoraggio: Controlla regolarmente la dashboard di sicurezza del tuo sito

⚠️ Nota importante: Ci sono altri 125+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate questa settimana. Controlla la dashboard di sicurezza del tuo sito per verificare se utilizzi qualcuno di questi componenti.

🔐 Considerazioni finali

Questa settimana presenta un numero particolarmente elevato di vulnerabilità non patched, inclusi alcuni plugin con installazioni significative. La situazione richiede particolare attenzione da parte degli amministratori WordPress.

Il plugin Happy Addons for Elementor con oltre 400.000 installazioni attive e vulnerabilità di controllo accessi non corretta rappresenta uno dei rischi più diffusi. Se utilizzi questo plugin, valuta alternative temporanee fino al rilascio di una patch.

Le vulnerabilità di tipo Arbitrary File Upload e Remote Code Execution sono le più pericolose e richiedono azione immediata. Non sottovalutare nemmeno le vulnerabilità XSS e CSRF, che possono essere sfruttate in attacchi combinati.

Ricorda: Mantieni sempre aggiornato WordPress core, tutti i plugin e temi. Utilizza credenziali forti, abilita l’autenticazione a due fattori e implementa un firewall applicativo (WAF) per una protezione aggiuntiva.