LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 17 Dicembre 2024: 274 vulnerabilità rilevate, 11 plugin critici senza patch

7 min di lettura
LOUD Team
Report Sicurezza WordPress – 17 Dicembre 2024: 274 vulnerabilità rilevate, 11 plugin critici senza patch

📊 Panoramica generale

Il report di sicurezza di questa settimana evidenzia una situazione preoccupante per l’ecosistema WordPress: sono state rilevate 274 vulnerabilità distribuite tra plugin e temi. Di queste, 141 plugin hanno ricevuto una patch correttiva, mentre 133 rimangono ancora senza soluzione ufficiale.

Particolarmente critica è la situazione di 11 plugin con vulnerabilità di gravità Critical o High che non hanno ancora una versione corretta disponibile. Alcuni di questi plugin sono installati su decine di migliaia di siti WordPress.

🚨 Allarme rosso: vulnerabilità critiche e di alto rischio

Questi plugin presentano le vulnerabilità più pericolose e richiedono intervento immediato. La presenza di vulnerabilità Critical consente agli attaccanti di compromettere completamente il sito.

Starter Templates (Astra Sites)

  • Installazioni: 2.000.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13065
  • ✅ Soluzione: Aggiorna alla versione 4.4.42

10Web Booster

  • Installazioni: 90.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-13377
  • ✅ Soluzione: Aggiorna alla versione 2.32.11

FunnelKit – Funnel Builder

  • Installazioni: 40.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-14169
  • ✅ Soluzione: Aggiorna alla versione 3.13.1.6

All-in-One Video Gallery

  • Installazioni: 20.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12966
  • ✅ Soluzione: Aggiorna alla versione 4.6.4

WP Webhooks

  • Installazioni: 20.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-66074
  • ✅ Soluzione: Aggiorna alla versione 3.3.9

Broken Link Checker by AIOSEO

  • Installazioni: 300.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-67962
  • ✅ Soluzione: Aggiorna alla versione 1.2.7

Newsletter

  • Installazioni: 300.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-67999
  • ✅ Soluzione: Aggiorna alla versione 9.1.0

Rich Shortcodes for Google Reviews

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12499
  • ✅ Soluzione: Aggiorna alla versione 6.8.1

Widgets for Google Reviews

  • Installazioni: 800.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12510
  • ✅ Soluzione: Aggiorna alla versione 13.2.5

List category posts

  • Installazioni: 80.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-10163
  • ✅ Soluzione: Aggiorna alla versione 0.92.0

Ninja Tables

  • Installazioni: 80.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-67519
  • ✅ Soluzione: Aggiorna alla versione 5.2.4

Login Security by CleanTalk

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13604
  • ✅ Soluzione: Aggiorna alla versione 2.169

Themify Portfolio Post

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-67533
  • ✅ Soluzione: Aggiorna alla versione 1.3.1

Reviews Widget for Google

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12705
  • ✅ Soluzione: Aggiorna alla versione 2.6

HandL UTM Grabber

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13073
  • ✅ Soluzione: Aggiorna alla versione 2.8.1

404 Solution

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-14477
  • ✅ Soluzione: Aggiorna alla versione 3.1.1

Store Locator WordPress

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-67516
  • ✅ Soluzione: Aggiorna alla versione 1.6.3

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità gravi ma non hanno ancora una versione corretta. Si raccomanda la disattivazione immediata fino al rilascio di un aggiornamento di sicurezza.

Flex QR Code Generator

  • Installazioni: 40+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12673
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Infility Global

  • Installazioni: Sconosciute
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12968
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Visitor Logic Lite

  • Installazioni: Sconosciute
  • Vulnerabilità: PHP Object Injection
  • CVE: 2025-14044
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Video Merchant

  • Installazioni: Sconosciute
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-14390
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WatchTowerHQ

  • Installazioni: Sconosciute
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2025-13972
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WPNakama

  • Installazioni: 10+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-14068
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WP User Manager

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-13320
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Blaze Demo Importer

  • Installazioni: 9.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13334
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Accept Stripe Payments Using Contact Form 7

  • Installazioni: 200+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12834
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Application Passwords

  • Installazioni: Sconosciute
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13308
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

CSV to SortTable

  • Installazioni: Sconosciute
  • Vulnerabilità: Local File Inclusion
  • CVE: 2025-13070
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

📋 Altri aggiornamenti importanti

Plugin con vulnerabilità di gravità media che hanno ricevuto una patch e che sono installati su più di 10.000 siti:

Elementor Website Builder

  • Installazioni: 10.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11220
  • ✅ Aggiorna a: 3.33.4

Custom Post Type UI

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14056
  • ✅ Aggiorna a: 1.18.2

Redux Framework

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-9488
  • ✅ Aggiorna a: 4.5.9

Widgets for Google Reviews

  • Installazioni: 800.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-9436
  • ✅ Aggiorna a: 13.2.2

Fluent Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-13748
  • ✅ Aggiorna a: 6.1.8

FileBird

  • Installazioni: 200.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12900
  • ✅ Aggiorna a: 6.5.2

GenerateBlocks

  • Installazioni: 200.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12512
  • ✅ Aggiorna a: 2.2.0

Popup Builder

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-9856
  • ✅ Aggiorna a: 4.4.2

a3 Lazy Load

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-9873
  • ✅ Aggiorna a: 2.7.6

Addon Elements for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12537
  • ✅ Aggiorna a: 1.14.4

Beaver Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12558
  • ✅ Aggiorna a: 2.9.4.1

Colibri Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11376
  • ✅ Aggiorna a: 1.0.342

Modula Image Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14003
  • ✅ Aggiorna a: 2.13.4

PublishPress Future

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13741
  • ✅ Aggiorna a: 4.9.3

TI WooCommerce Wishlist

  • Installazioni: 100.000+
  • Vulnerabilità: Content Injection
  • CVE: 2025-9207
  • ✅ Aggiorna a: 2.11.0

ProfilePress

  • Installazioni: 100.000+
  • Vulnerabilità: Content Injection
  • CVE: 2025-13642
  • ✅ Aggiorna a: 4.16.8

YITH WooCommerce Quick View

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8617
  • ✅ Aggiorna a: 2.7.1

MailerLite

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13993
  • ✅ Aggiorna a: 1.7.17

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13956
  • ✅ Aggiorna a: 4.3.2

OneSignal

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13950
  • ✅ Aggiorna a: 3.6.2

Brizy Page Builder

  • Installazioni: 70.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-0969
  • ✅ Aggiorna a: 2.7.17

Email Subscribers & Newsletters

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12348
  • ✅ Aggiorna a: 5.9.11

Events Manager

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-12407
  • ✅ Aggiorna a: 7.2.2.3

User Registration

  • Installazioni: 60.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13367
  • ✅ Aggiorna a: 4.4.7

Ultra Addons for Contact Form 7

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14356
  • ✅ Aggiorna a: 3.5.34

Advanced Product Fields for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-13924
  • ✅ Aggiorna a: 1.6.18

Auto Featured Image

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13794
  • ✅ Aggiorna a: 4.2.2

Pixel Manager for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-67564
  • ✅ Aggiorna a: 1.52.0

WP Recipe Maker

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • ✅ Aggiorna a: 10.2.3

Feedzy RSS Feeds

  • Installazioni: 40.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-11467
  • ✅ Aggiorna a: 5.1.2

InstaWP Connect

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66068
  • ✅ Aggiorna a: 0.1.2.0

Simply Gallery Block

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14288
  • ✅ Aggiorna a: 3.3.1

HT Slider For Elementor

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14278
  • ✅ Aggiorna a: 1.7.5

ThirstyAffiliates

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-67537
  • ✅ Aggiorna a: 3.11.9

WP Visitor Statistics

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-67983
  • ✅ Aggiorna a: 8.4

Livemesh SiteOrigin Widgets

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8780
  • ✅ Aggiorna a: 3.9.2

My Calendar

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-67592
  • ✅ Aggiorna a: 3.6.17

Secure Copy Content Protection

  • Installazioni: 20.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-14442
  • ✅ Aggiorna a: 4.9.3

UsersWP

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-67593
  • ✅ Aggiorna a: 1.2.49

Animation Addons for Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary Content Deletion
  • CVE: 2025-67540
  • ✅ Aggiorna a: 2.4.6

CC Child Pages

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13608
  • ✅ Aggiorna a: 2.0.1

FluentAuth

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13728
  • ✅ Aggiorna a: 2.1.0

Head Meta Data

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-66081
  • ✅ Aggiorna a: 20251118

JetWidgets For Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8195
  • ✅ Aggiorna a: 1.0.21

Lightweight Accordion

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13740
  • ✅ Aggiorna a: 1.6.0

Marquee Addons for Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8199
  • ✅ Aggiorna a: 3.0.0

myCred

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12362
  • ✅ Aggiorna a: 2.9.7.1

WP-ShowHide

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-67541
  • ✅ Aggiorna a: 1.06

WPeMatico RSS Feed Fetcher

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13031
  • ✅ Aggiorna a: 2.8.13

🔐 Plugin popolari senza patch (media gravità)

Questi plugin molto diffusi presentano vulnerabilità di gravità media ma non hanno ancora ricevuto un aggiornamento:

Health Check & Troubleshooting

  • Installazioni: 300.000+
  • Vulnerabilità: Path Traversal
  • CVE: 2025-64253
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Custom Field Template

  • Installazioni: 30.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-63058
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Brevo for WooCommerce

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66128
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Directorist

  • Installazioni: 20.000+
  • Vulnerabilità: Open Redirection
  • CVE: 2025-64250
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Page View Count

  • Installazioni: 20.000+
  • Vulnerabilità: Settings Change
  • CVE: 2025-63034
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Pochipp

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66129
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WCFM Marketplace

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64631
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Business Directory Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64630
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Read More & Accordion

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64247
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WP Cookie Consent

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66133
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

King Addons for Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-7960
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Protect WP Admin

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64249
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

🎨 Vulnerabilità nei temi WordPress

Sono state rilevate vulnerabilità anche in 19 temi WordPress, di cui 17 hanno ricevuto patch e 2 rimangono senza soluzione:

Temi senza patch disponibile:

  • EduMall – Local File Inclusion (CVE: 2025-68061) – Gravità: High
  • MinimogWP – Local File Inclusion (CVE: 2025-68062) – Gravità: High

Temi con patch disponibile:

I seguenti temi hanno ricevuto aggiornamenti di sicurezza e devono essere aggiornati immediatamente:

  • Besa (v2.3.16) – Local File Inclusion
  • Digiqole (v2.2.7) – Local File Inclusion
  • ekommart (v4.3.1) – Local File Inclusion
  • Exhibz (v3.0.10) – Local File Inclusion
  • Fashion (v5.3.0) – Local File Inclusion
  • Hara (v1.2.18) – Local File Inclusion
  • Jobmonster (v4.8.3) – Local File Inclusion
  • Sailing (v4.4.6) – Local File Inclusion e Broken Access Control
  • Turitor (v1.5.3) – Local File Inclusion
  • Urna (v2.5.13) – Local File Inclusion
  • Wilmër (v3.5) – Local File Inclusion

✅ Raccomandazioni immediate

  1. Aggiorna tutti i plugin e i temi che hanno una patch disponibile
  2. Disattiva immediatamente i plugin con vulnerabilità Critical/High senza patch
  3. Effettua un backup completo prima di qualsiasi aggiornamento
  4. Testa gli aggiornamenti in un ambiente di staging quando possibile
  5. Monitora regolarmente il dashboard di sicurezza del tuo sito
  6. Considera alternative per i plugin senza patch da tempo

📌 Nota finale

⚠️ Ci sono altri 100+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Se utilizzi plugin poco diffusi, controlla la dashboard di sicurezza del tuo sito per verificare la presenza di eventuali vulnerabilità.

WordPress Core 6.9 “Gene” è stato rilasciato il 2 dicembre 2024 senza vulnerabilità note. Tuttavia, come sempre dopo un major release, si raccomanda di testare l’aggiornamento in ambiente di staging prima di applicarlo sui siti in produzione.