LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 21 Gennaio 2026: 137 Vulnerabilità Rilevate

4 min di lettura
LOUD Team
Report Sicurezza WordPress – 21 Gennaio 2026: 137 Vulnerabilità Rilevate

📊 Panoramica generale

Il report di questa settimana evidenzia una situazione di allerta elevata per la sicurezza WordPress. Sono state rilevate 137 vulnerabilità distribuite tra:

  • 57 plugin con patch disponibili
  • 80 plugin senza correzione
  • 5 temi con patch disponibili
  • 38 temi senza correzione

WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità, ma l’ecosistema di plugin e temi richiede attenzione immediata.

🚨 Allarme rosso

Questi plugin hanno vulnerabilità critiche o ad alto rischio e sono installati su più di 10.000 siti. Richiedi azione immediata:

Supreme Modules Lite – Divi Theme

  • Installazioni: 200.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13062
  • ✅ Soluzione: Aggiorna alla versione 2.5.63

Appointment Booking Calendar

  • Installazioni: 70.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12166
  • ✅ Soluzione: Aggiorna alla versione 1.6.9.13

Modular DS: Monitor, update, and backup

  • Installazioni: 30.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-23800
  • ✅ Soluzione: Aggiorna alla versione 2.6.0

Xpro Addons — 140+ Widgets

  • Installazioni: 30.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-69312
  • ✅ Soluzione: Aggiorna alla versione 1.4.20

Advanced Ads – Ad Manager & AdSense

  • Installazioni: 100.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12984
  • ✅ Soluzione: Aggiorna alla versione 2.0.16

Jupiter X Core

  • Installazioni: 80.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2025-50004
  • ✅ Soluzione: Aggiorna alla versione 4.11.0

WooCommerce Square

  • Installazioni: 80.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-13457
  • ✅ Soluzione: Aggiorna alla versione 5.1.2

WP-RSS Aggregator

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14375
  • ✅ Soluzione: Aggiorna alla versione 5.0.11

PostX – Post Grid Gutenberg Blocks

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-69313
  • ✅ Soluzione: Aggiorna alla versione 5.0.4

⛔ Plugin critici non patchati

Questi plugin presentano vulnerabilità critiche senza soluzione disponibile. Valuta la disattivazione immediata o la sostituzione con alternative più sicure:

CleverReach® WP

  • Installazioni: 4.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-68034
  • ❌ Nessuna patch disponibile

Event Tickets with Ticket Scanner

  • Installazioni: 1.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-68015
  • ❌ Nessuna patch disponibile

Order Notification for WooCommerce

  • Installazioni: 1.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-68018
  • ❌ Nessuna patch disponibile

Shipping Rate By Cities

  • Installazioni: 600+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-14770
  • ❌ Nessuna patch disponibile

Tutor LMS Pro

  • Installazioni: N/D
  • Vulnerabilità: SQL Injection
  • CVE: 2026-22332
  • ❌ Nessuna patch disponibile

Workreap Core

  • Installazioni: N/D
  • Vulnerabilità: Broken Authentication
  • CVE: 2025-69101
  • ❌ Nessuna patch disponibile

📋 Altri aggiornamenti importanti

Plugin con gravità media e oltre 10.000 installazioni che richiedono aggiornamento:

All in One SEO

  • Installazioni: 3.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14384
  • ✅ Soluzione: Aggiorna alla versione 4.9.3

Breeze Cache

  • Installazioni: 400.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-69364
  • ✅ Soluzione: Aggiorna alla versione 2.2.22

Newsletter

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-1051
  • ✅ Soluzione: Aggiorna alla versione 9.1.1

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14798
  • ✅ Soluzione: Aggiorna alla versione 4.3.2.5

Booking Calendar

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-14982
  • ✅ Soluzione: Aggiorna alla versione 10.14.12

WP Duplicate Page

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14001
  • ✅ Soluzione: Aggiorna alla versione 1.8.1

WP-Members Membership Plugin

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14448
  • ✅ Soluzione: Aggiorna alla versione 3.5.4.4

Shield Security

  • Installazioni: 40.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-15370
  • ✅ Soluzione: Aggiorna alla versione 21.0.10

Cost Calculator Builder

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14757
  • ✅ Soluzione: Aggiorna alla versione 3.6.10

Image Photo Gallery Final Tiles Grid

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-15466
  • ✅ Soluzione: Aggiorna alla versione 3.6.10

Quiz Maker

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14579
  • ✅ Soluzione: Aggiorna alla versione 6.7.0.89

AffiliateX – Amazon Affiliate Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13859
  • ✅ Soluzione: Aggiorna alla versione 1.4.0

Restrict Content – Membership Plugin

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-14844
  • ✅ Soluzione: Aggiorna alla versione 3.2.17

User Submitted Posts

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0913
  • ✅ Soluzione: Aggiorna alla versione 20260113

weMail – Email Marketing

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-14348
  • ✅ Soluzione: Aggiorna alla versione 2.0.8

🎨 Vulnerabilità nei temi WordPress

Sono state rilevate 43 vulnerabilità in temi WordPress, di cui solo 5 hanno ricevuto una patch. I temi più a rischio includono:

  • Blogistic e Blogzee: Arbitrary File Upload (Critical) – Nessuna patch
  • Solace: Broken Access Control (Medium) – Nessuna patch
  • Miion: Arbitrary File Upload + Local File Inclusion (Critical/High) – Nessuna patch
  • Restaurt: Arbitrary File Upload (Critical) – Nessuna patch

Per i temi con patch disponibili:

  • Biagiotti → Aggiorna alla versione 3.5.2
  • Kalium → Aggiorna alla versione 3.30
  • Powerlift → Aggiorna alla versione 3.2.1
  • The Aisle → Aggiorna alla versione 2.9.1
  • Werkstatt → Aggiorna alla versione 4.8.3

✅ Azioni raccomandate

  1. Backup completo: Prima di qualsiasi aggiornamento, esegui un backup completo del sito
  2. Ambiente di test: Testa gli aggiornamenti in staging prima di applicarli in produzione
  3. Aggiornamenti prioritari: Inizia dai plugin con vulnerabilità Critical e oltre 100.000 installazioni
  4. Disattivazione selettiva: Per i plugin critici senza patch, valuta alternative o disattivazione temporanea
  5. Monitoraggio continuo: Configura un sistema di alerting per nuove vulnerabilità
  6. Verifica temi: Controlla se il tuo tema attivo è presente nella lista delle vulnerabilità

⚠️ Nota importante: Ci sono altri 65 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo delle vulnerabilità che potrebbero riguardare la tua installazione specifica.

🔒 Conclusioni

La settimana del 21 gennaio 2026 segna un picco significativo di vulnerabilità nell’ecosistema WordPress. Con 137 vulnerabilità totali e 80 plugin senza correzione disponibile, è fondamentale adottare un approccio proattivo alla sicurezza.

La presenza di vulnerabilità critiche in plugin ampiamente utilizzati come Supreme Modules Lite (200.000+ installazioni) e Advanced Ads (100.000+ installazioni) evidenzia l’importanza di mantenere aggiornato l’intero ecosistema WordPress.

Ricorda: la sicurezza non è un’operazione una tantum, ma un processo continuo che richiede vigilanza costante e azioni tempestive.