LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 18 Febbraio 2026: 158 Vulnerabilità Rilevate

5 min di lettura
LOUD Team
Report Sicurezza WordPress – 18 Febbraio 2026: 158 Vulnerabilità Rilevate

Report Sicurezza WordPress – 18 Febbraio 2026

Il report di questa settimana evidenzia 158 vulnerabilità totali distribuite tra plugin e temi WordPress. La situazione richiede particolare attenzione: sono stati identificati 83 plugin con patch disponibili e 75 plugin ancora senza correzioni, oltre a 32 vulnerabilità nei temi.

📊 WordPress Core

WordPress 6.9.1 è stato rilasciato il 3 febbraio 2026 come aggiornamento di manutenzione, correggendo 49 bug nel Core e nel Block Editor. La prossima versione major, WordPress 7.0, è prevista per il 9 aprile 2026 durante il WordCamp Asia. Non sono state segnalate nuove vulnerabilità nel core questa settimana.

🚨 Allarme rosso: vulnerabilità critiche e ad alto rischio

Otto plugin con installazioni significative presentano vulnerabilità critiche o ad alto rischio che richiedono attenzione immediata. Di questi, cinque hanno patch disponibili mentre tre rimangono ancora senza correzione.

Migration, Backup, Staging – WPvivid

  • Installazioni: 900.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-1357
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 0.9.124

Backup Migration

  • Installazioni: 100.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2023-7002
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 1.4.0

Ninja Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-2268
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 3.14.1

Converter for Media – Optimize images

  • Installazioni: 500.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-1356
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 6.5.2

SureForms

  • Installazioni: 400.000+
  • Vulnerabilità: Broken Access Control
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 2.2.2

SlimStat Analytics

  • Installazioni: 80.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13431
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.3.2

Mollie Payments for WooCommerce

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-68501
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 8.1.2

Customer Reviews for WooCommerce

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1316
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.98.0

⛔ Plugin critici senza patch disponibile

Particolare attenzione merita questa categoria: sono plugin con vulnerabilità gravi ma senza correzioni disponibili. L’unica soluzione temporanea è disattivarli immediatamente.

Persian WooCommerce SMS

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-22352
  • Gravità: High
  • ❌ Soluzione: NESSUNA PATCH – Disattiva immediatamente

Link Whisper Free

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-22357
  • Gravità: High
  • ❌ Soluzione: NESSUNA PATCH – Disattiva immediatamente

WP FullCalendar

  • Installazioni: 9.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-22351
  • Gravità: High
  • ❌ Soluzione: NESSUNA PATCH – Disattiva immediatamente

📋 Altri aggiornamenti importanti (gravità media)

Plugin con più di 10.000 installazioni che presentano vulnerabilità di gravità media. Sebbene meno urgenti, richiedono comunque aggiornamento nelle prossime manutenzioni programmate.

Yoast Duplicate Post

  • Installazioni: 4.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2019-25314
  • ✅ Soluzione: Aggiorna alla versione 3.2.4

Essential Addons for Elementor

  • Installazioni: 2.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1512
  • ✅ Soluzione: Aggiorna alla versione 6.5.10

Fluent Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0996
  • ✅ Soluzione: Aggiorna alla versione 6.1.15

Forminator Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2002
  • ✅ Soluzione: Aggiorna alla versione 1.50.3

Kadence Blocks

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • ✅ Soluzione: Aggiorna alla versione 3.6.0

Beaver Builder Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1231
  • ✅ Soluzione: Aggiorna alla versione 2.10.0.6

Gallery by FooGallery

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-15524
  • ✅ Soluzione: Aggiorna alla versione 3.1.10

LatePoint

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-14873
  • ✅ Soluzione: Aggiorna alla versione 5.2.6

Modula Image Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-1254
  • ✅ Soluzione: Aggiorna alla versione 2.13.7

Auto Featured Image

  • Installazioni: 50.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2023-7073
  • ✅ Soluzione: Aggiorna alla versione 4.2.0

Popup builder with Gamification

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14895
  • ✅ Soluzione: Aggiorna alla versione 2.2.1

WP-Members Membership Plugin

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2023-6733
  • ✅ Soluzione: Aggiorna alla versione 3.4.9

Calculated Fields Form

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25368
  • ✅ Soluzione: Aggiorna alla versione 5.4.4.2

Easy Social Feed

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2023-6883
  • ✅ Soluzione: Aggiorna alla versione 6.5.3

WP Last Modified Info

  • Installazioni: 30.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-14608
  • ✅ Soluzione: Aggiorna alla versione 1.9.6

Alt Text AI

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25348
  • ✅ Soluzione: Aggiorna alla versione 1.10.18

MP3 Audio Player by Sonaar

  • Installazioni: 20.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-1249
  • ✅ Soluzione: Aggiorna alla versione 5.11

The Events Calendar Shortcode & Block

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1922
  • ✅ Soluzione: Aggiorna alla versione 3.1.3

WCFM Marketplace

  • Installazioni: 20.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-1722
  • ✅ Soluzione: Aggiorna alla versione 3.7.1

WPZOOM Addons for Elementor

  • Installazioni: 20.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-2295
  • ✅ Soluzione: Aggiorna alla versione 1.3.3

Passster

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25036
  • ✅ Soluzione: Aggiorna alla versione 4.2.26

MasterStudy LMS

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0559
  • ✅ Soluzione: Aggiorna alla versione 3.7.12

Media Library Folders

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary Content Deletion
  • CVE: 2026-2312
  • ✅ Soluzione: Aggiorna alla versione 8.3.7

myCred

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0550
  • ✅ Soluzione: Aggiorna alla versione 2.9.7.4

Open User Map

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2025-68002
  • ✅ Soluzione: Aggiorna alla versione 1.4.17

Paid Membership Subscriptions

  • Installazioni: 10.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-68514
  • ✅ Soluzione: Aggiorna alla versione 2.16.9

WCFM Membership

  • Installazioni: 10.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-15147
  • ✅ Soluzione: Aggiorna alla versione 2.11.9

WP Data Access

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0557
  • ✅ Soluzione: Aggiorna alla versione 5.5.64

🎨 Vulnerabilità nei temi WordPress

Questa settimana sono state rilevate 32 vulnerabilità nei temi, di cui 13 con patch disponibili e 19 ancora senza correzione. Le vulnerabilità più comuni includono Local File Inclusion (LFI) e PHP Object Injection.

Temi critici con patch disponibile:

  • AdForest – Broken Authentication (Critical) – Aggiorna alla versione 6.0.13
  • Ippsum – PHP Object Injection (Critical) – Aggiorna alla versione 1.2.1
  • Nestin – PHP Object Injection (Critical) – Aggiorna alla versione 1.2.6
  • PatioTime – PHP Object Injection (Critical) – Aggiorna alla versione 2.1
  • Prestige – PHP Object Injection (Critical) – Aggiorna alla versione 1.4.1
  • Travelicious – PHP Object Injection (Critical) – Aggiorna alla versione 1.6.7

Temi critici senza patch:

  • Extreme Store – PHP Object Injection (Critical) – Nessuna patch disponibile
  • Lorem Ipsum Books & Media Store – PHP Object Injection (Critical) – Nessuna patch disponibile

Per i temi senza patch, si consiglia di passare temporaneamente a un tema alternativo fino al rilascio di una correzione.

📌 Raccomandazioni finali

  1. Priorità massima: Aggiorna immediatamente i plugin con vulnerabilità critiche elencati nella sezione “Allarme Rosso”
  2. Disattivazione immediata: Rimuovi i plugin senza patch disponibile, specialmente quelli con gravità High o Critical
  3. Audit completo: Verifica la presenza di tutti i plugin elencati nel tuo sito utilizzando un plugin di sicurezza o la dashboard di WordPress
  4. Backup preventivo: Esegui un backup completo prima di procedere con gli aggiornamenti
  5. Ambiente di test: Se possibile, testa gli aggiornamenti in un ambiente di staging prima di applicarli in produzione

⚠️ Ci sono altri 120 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un’analisi completa.

Nota importante: Questo report viene aggiornato settimanalmente. Iscriviti alla newsletter per ricevere gli aggiornamenti direttamente nella tua casella di posta e proteggere il tuo sito WordPress da nuove minacce.