LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report sicurezza WordPress – 19 Novembre 2025: 148 vulnerabilità rilevate

5 min di lettura
LOUD Team
Report sicurezza WordPress – 19 Novembre 2025: 148 vulnerabilità rilevate

🚨 Allarme rosso: vulnerabilità critiche e high severity

Questa settimana sono state identificate 10 vulnerabilità critiche o ad alta severità che interessano plugin con più di 10.000 installazioni attive. Questi plugin richiedono un intervento immediato per proteggere i siti WordPress.

Blocksy Companion

  • Installazioni: 300.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12846
  • ✅ Soluzione: Aggiorna alla versione 2.1.20

Import any XML, CSV or Excel File to WordPress

  • Installazioni: 100.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-12733
  • ✅ Soluzione: Aggiorna alla versione 4.0.0

Booking for Appointments and Events Calendar – Amelia

  • Installazioni: 90.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12482
  • ✅ Soluzione: Aggiorna alla versione 1.2.36

TNC Toolbox: Web Performance

  • Installazioni: 1.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-12539
  • ✅ Soluzione: Aggiorna alla versione 2.0.0

WP Dropzone

  • Installazioni: 100+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12775
  • ✅ Soluzione: Aggiorna alla versione 1.1.1

EasyCommerce – AI-Powered Ecommerce

  • Installazioni: 70+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-11457
  • ✅ Soluzione: Aggiorna alla versione 1.8.3

Gravity Forms

  • Installazioni: N/D
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12974
  • ✅ Soluzione: Aggiorna alla versione 2.9.22

WP Go Maps (formerly WP Google Maps)

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11307
  • ✅ Soluzione: Aggiorna alla versione 9.0.48

WP Migrate Lite – WordPress Migration Made Easy

  • Installazioni: 200.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-11427
  • ✅ Soluzione: Aggiorna alla versione 2.7.7

AI Engine

  • Installazioni: 100.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2025-12844
  • ✅ Soluzione: Aggiorna alla versione 3.1.9

Live sales notification for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12955
  • ✅ Soluzione: Aggiorna alla versione 2.3.40

Passster – Password Protect Pages and Content

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-64218
  • ✅ Soluzione: Aggiorna alla versione 4.2.20

LifterLMS – WP LMS for eLearning

  • Installazioni: 10.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-11923
  • ✅ Soluzione: Aggiorna alla versione 9.1.1

MasterStudy LMS WordPress Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-64366
  • ✅ Soluzione: Aggiorna alla versione 3.6.28

⛔ Plugin critici senza patch disponibile

Attenzione massima: i seguenti plugin presentano vulnerabilità critiche ma non hanno ancora una patch disponibile. Si consiglia la disattivazione immediata se installati.

Enable SVG, WebP, and ICO Upload

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13069
  • ❌ Patch: Non disponibile

WP????????? for CPI

  • Installazioni: N/D
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-11170
  • ❌ Patch: Non disponibile

Elastic Theme Editor

  • Installazioni: N/D
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12637
  • ❌ Patch: Non disponibile

Astra Security Suite

  • Installazioni: N/D
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-11521
  • ❌ Patch: Non disponibile

Holiday class post calendar

  • Installazioni: N/D
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-12813
  • ❌ Patch: Non disponibile

Drag & Drop Builder (Pie Forms)

  • Installazioni: N/D
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12528
  • ❌ Patch: Non disponibile

📋 Altri aggiornamenti importanti (medium severity)

I seguenti plugin con oltre 10.000 installazioni presentano vulnerabilità di severità media. Pur non essendo critiche, è comunque raccomandato l’aggiornamento tempestivo.

All in One SEO

  • Installazioni: 3.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12847
  • ✅ Soluzione: Aggiorna alla versione 4.9.0

Page Builder: Pagelayer

  • Installazioni: 400.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-12366
  • ✅ Soluzione: Aggiorna alla versione 2.0.6

Broken Link Checker by AIOSEO

  • Installazioni: 300.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-11734
  • ✅ Soluzione: Aggiorna alla versione 1.2.6

SureForms – Contact Form

  • Installazioni: 300.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12536
  • ✅ Soluzione: Aggiorna alla versione 1.13.2

Post Type Switcher

  • Installazioni: 200.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-12524
  • ✅ Soluzione: Aggiorna alla versione 4.0.1

AI Engine

  • Installazioni: 100.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-8084
  • ✅ Soluzione: Aggiorna alla versione 3.1.9

Element Pack Addons for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13196
  • ✅ Soluzione: Aggiorna alla versione 8.3.5

Gallery Plugin for WordPress – Envira Photo Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12377
  • ✅ Soluzione: Aggiorna alla versione 1.12.1

Image Gallery – Photo Grid & Video Gallery (Modula)

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12494
  • ✅ Soluzione: Aggiorna alla versione 2.12.29

VK All in One Expansion Unit

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11265
  • ✅ Soluzione: Aggiorna alla versione 9.112.2

Qi Blocks

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12182
  • ✅ Soluzione: Aggiorna alla versione 1.4.4

Booking Calendar

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-64381
  • ✅ Soluzione: Aggiorna alla versione 10.14.8

Pixel Manager for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-12545
  • ✅ Soluzione: Aggiorna alla versione 1.49.3

WP Duplicate Page

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12481
  • ✅ Soluzione: Aggiorna alla versione 1.8

RTMKit

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-8609
  • ✅ Soluzione: Aggiorna alla versione 1.6.6

Data Tables Generator by Supsystic

  • Installazioni: 20.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-12089
  • ✅ Soluzione: Aggiorna alla versione 1.10.46

Welcart e-Commerce

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12979
  • ✅ Soluzione: Aggiorna alla versione 2.11.25

WP Import – Ultimate CSV XML Importer

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12732
  • ✅ Soluzione: Aggiorna alla versione 7.33.1

Asgaros Forum

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-12901
  • ✅ Soluzione: Aggiorna alla versione 3.3.0

Classified Listing – AI-Powered Classified ads

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12953
  • ✅ Soluzione: Aggiorna alla versione 5.2.1

Contact Form Email

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64369
  • ✅ Soluzione: Aggiorna alla versione 1.3.59

GeoDirectory – WP Business Directory Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12833
  • ✅ Soluzione: Aggiorna alla versione 2.8.140

Photonic Gallery & Lightbox

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12691
  • ✅ Soluzione: Aggiorna alla versione 3.22

📊 Riepilogo statistico

  • Totale vulnerabilità rilevate: 148 (67 con patch disponibile, 81 senza patch)
  • Vulnerabilità critiche: 10 plugin patchati + 6 non patchati
  • Vulnerabilità high severity: 14 plugin con patch disponibile
  • WordPress Core: Nessuna nuova vulnerabilità segnalata
  • Temi WordPress: 1 vulnerabilità (Angel Theme – XSS senza patch)

✅ Raccomandazioni immediate

  1. Aggiorna subito tutti i plugin con vulnerabilità critiche o high che hanno una patch disponibile
  2. Disattiva immediatamente i plugin critici senza patch se presenti nel tuo sito
  3. Verifica il backup del sito prima di procedere con gli aggiornamenti
  4. Monitora gli aggiornamenti futuri per i plugin attualmente senza patch
  5. Effettua audit regolari dei plugin installati e rimuovi quelli inutilizzati

⚠️ Ci sono altri 67 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per verificare se utilizzi uno di questi plugin.

📌 Nota importante: WordPress 6.8.3 è stata rilasciata come versione di sicurezza. Assicurati che il tuo core WordPress sia aggiornato all’ultima versione. WordPress 6.9 è previsto per il 2 dicembre 2025 e attualmente è in fase di testing (Release Candidate 2).