Report Sicurezza WordPress – 24 Dicembre 2024: 140 Vulnerabilità e 26 Plugin Senza Patch
6 min di lettura
••LOUD Team
📊 Panoramica generale
Il report di sicurezza del 24 dicembre 2024 evidenzia una situazione critica nell’ecosistema WordPress: sono state identificate 140 vulnerabilità distribuite tra 114 plugin patchati, 26 plugin non patchati e 10 temi aggiornati. Particolarmente preoccupante è il numero di plugin ad alto traffico coinvolti, alcuni dei quali utilizzati su milioni di siti.
WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità questa settimana, confermando la solidità del nucleo della piattaforma.
🚨 Allarme rosso
Questi plugin combinano gravità elevata (Critical o High) con un’ampia diffusione (oltre 10.000 installazioni attive). Richiedono intervento immediato.
Booking Calendar
- Installazioni: 50.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-14383
- ✅ Soluzione: Aggiorna alla versione 10.14.9
wpForo Forum
- Installazioni: 20.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-13126
- ✅ Soluzione: Aggiorna alla versione 2.4.13
Ninja Forms
- Installazioni: 600.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-11924
- ✅ Soluzione: Aggiorna alla versione 3.13.3
Photo Gallery – NextGEN Gallery
- Installazioni: 400.000+
- Vulnerabilità: Local File Inclusion
- CVE: 2025-13641
- ✅ Soluzione: Aggiorna alla versione 4.0.0
Newsletter
- Installazioni: 300.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-67999
- ✅ Soluzione: Aggiorna alla versione 9.1.0
User Feedback
- Installazioni: 200.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-68496
- ✅ Soluzione: Aggiorna alla versione 1.10.1
Beaver Builder
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-12934
- ✅ Soluzione: Aggiorna alla versione 2.9.4.2
Hummingbird Performance
- Installazioni: 80.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-14437
- ✅ Soluzione: Aggiorna alla versione 3.18.1
Ninja Tables
- Installazioni: 80.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-67519
- ✅ Soluzione: Aggiorna alla versione 5.2.4
SlimStat Analytics
- Installazioni: 80.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14151
- ✅ Soluzione: Aggiorna alla versione 5.3.3
Themify Portfolio Post
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-67533
- ✅ Soluzione: Aggiorna alla versione 1.3.1
Better Messages
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14154
- ✅ Soluzione: Aggiorna alla versione 2.10.3
Demo Importer Plus
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14364
- ✅ Soluzione: Aggiorna alla versione 2.0.9
HandL UTM Grabber
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13073
- ✅ Soluzione: Aggiorna alla versione 2.8.1
HTML Forms
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13861
- ✅ Soluzione: Aggiorna alla versione 1.6.1
HTML5 Audio Player
- Installazioni: 10.000+
- Vulnerabilità: Server Side Request Forgery (SSRF)
- CVE: 2025-13999
- ✅ Soluzione: Aggiorna alla versione 2.5.2
⛔ Plugin critici non patchati
Questi plugin presentano vulnerabilità di severità Critical ma non hanno ancora una patch disponibile. Si raccomanda la disattivazione immediata fino al rilascio di un aggiornamento di sicurezza.
JAY Login & Register
- Installazioni: 40+
- Vulnerabilità: Broken Authentication
- CVE: 2025-14440
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
URL Shortener
- Installazioni: N/D
- Vulnerabilità: SQL Injection
- CVE: 2025-10738
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Payamito SMS WooCommerce
- Installazioni: N/D
- Vulnerabilità: SQL Injection
- CVE: 2025-13077
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
WP3D Model Import Viewer
- Installazioni: N/D
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-13094
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
⚠️ Plugin High non patchati
Vulnerabilità ad alta severità senza patch. Valutare attentamente la necessità di mantenere questi plugin attivi.
Doubly
- Installazioni: 10.000+
- Vulnerabilità: PHP Object Injection
- CVE: 2025-14476
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Postem Ipsum
- Installazioni: N/D
- Vulnerabilità: Broken Access Control
- CVE: 2025-14397
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
WooMulti
- Installazioni: N/D
- Vulnerabilità: Arbitrary File Deletion
- CVE: 2025-12835
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
WPS Visitor Counter
- Installazioni: N/D
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-9116
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
📋 Altri aggiornamenti importanti (severità media)
Plugin con oltre 10.000 installazioni che richiedono aggiornamento per vulnerabilità di severità media.
Elementor
- Installazioni: 10.000.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-11220
- ✅ Aggiorna a: 3.33.4
WooCommerce
- Installazioni: 7.000.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-15033
- ✅ Aggiorna a: 10.4.3
Essential Addons for Elementor
- Installazioni: 2.000.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13977
- ✅ Aggiorna a: 6.5.4
Premium Addons for Elementor
- Installazioni: 700.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-14163
- ✅ Aggiorna a: 4.11.54
Royal Addons for Elementor
- Installazioni: 600.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-11363
- ✅ Aggiorna a: 1.7.1037
Converter for Media
- Installazioni: 500.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13750
- ✅ Aggiorna a: 6.4.0
Happy Addons for Elementor
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14635
- ✅ Aggiorna a: 3.20.4
Admin and Site Enhancements
- Installazioni: 200.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-64255
- ✅ Aggiorna a: 8.1.0
Gutenberg Essential Blocks
- Installazioni: 200.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-11369
- ✅ Aggiorna a: 5.7.3
FileBird
- Installazioni: 200.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-12900
- ✅ Aggiorna a: 6.5.2
Ultimate Member (3 vulnerabilità)
- Installazioni: 200.000+
- Vulnerabilità: Sensitive Data Exposure, Broken Access Control, XSS
- CVE: 2025-12492, 2025-14081, 2025-13217
- ✅ Aggiorna a: 2.11.1
Addon Elements for Elementor
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-12537
- ✅ Aggiorna a: 1.14.4
FiboSearch
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14298
- ✅ Aggiorna a: 1.32.1
Prime Slider
- Installazioni: 100.000+
- Vulnerabilità: Server Side Request Forgery (SSRF)
- CVE: 2025-14277
- ✅ Aggiorna a: 4.1.0
Colibri Page Builder
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-11747
- ✅ Aggiorna a: 1.0.358
Login Lockdown & Protection
- Installazioni: 100.000+
- Vulnerabilità: Bypass Vulnerability
- CVE: 2025-11707
- ✅ Aggiorna a: 2.15
Modula Image Gallery
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14003
- ✅ Aggiorna a: 2.13.4
PublishPress Future
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13741
- ✅ Aggiorna a: 4.9.3
HUSKY Products Filter
- Installazioni: 100.000+
- Vulnerabilità: Insecure Direct Object References (IDOR)
- CVE: 2025-13110
- ✅ Aggiorna a: 1.3.7.4
LearnPress (2 vulnerabilità)
- Installazioni: 80.000+
- Vulnerabilità: XSS, Broken Access Control
- CVE: 2025-14387, 2025-13956
- ✅ Aggiorna a: 4.3.2
OneSignal
- Installazioni: 80.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13950
- ✅ Aggiorna a: 3.6.2
Events Manager
- Installazioni: 70.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-12976
- ✅ Aggiorna a: 7.2.3
Simply Schedule Appointments
- Installazioni: 70.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13754
- ✅ Aggiorna a: 1.6.9.17
User Registration
- Installazioni: 60.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13367
- ✅ Aggiorna a: 4.4.7
Auto Featured Image
- Installazioni: 50.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13794
- ✅ Aggiorna a: 4.2.2
Embed Any Document
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-12885
- ✅ Aggiorna a: 2.7.11
Pixel Manager for WooCommerce
- Installazioni: 50.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-67564
- ✅ Aggiorna a: 1.52.0
WP Recipe Maker
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14385
- ✅ Aggiorna a: 10.2.4
Download Plugins and Themes in ZIP
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-14399
- ✅ Aggiorna a: 1.9.7
ThirstyAffiliates
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-67537
- ✅ Aggiorna a: 3.11.9
MailerLite WooCommerce
- Installazioni: 30.000+
- Vulnerabilità: Broken Access Control
- ✅ Aggiorna a: 3.1.4
WP Social Ninja
- Installazioni: 30.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13880
- ✅ Aggiorna a: 4.0.2
WP Visitor Statistics
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-67983
- ✅ Aggiorna a: 8.4
WCFM Marketplace
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-64631
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Directorist
- Installazioni: 20.000+
- Vulnerabilità: Open Redirection
- CVE: 2025-64250
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Image Photo Gallery Final Tiles
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14455
- ✅ Aggiorna a: 3.6.8
My Calendar
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-67592
- ✅ Aggiorna a: 3.6.17
UsersWP
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-67593
- ✅ Aggiorna a: 1.2.49
Animation Addons for Elementor
- Installazioni: 10.000+
- Vulnerabilità: Arbitrary Content Deletion
- CVE: 2025-67540
- ✅ Aggiorna a: 2.4.6
BA Book Everything
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14449
- ✅ Aggiorna a: 1.8.15
Business Directory Plugin
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-64630
- ✅ Aggiorna a: 6.4.20
CC Child Pages
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13608
- ✅ Aggiorna a: 2.0.1
OpenID Connect Generic Client
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13730
- ✅ Aggiorna a: 3.10.1
FluentAuth
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13728
- ✅ Aggiorna a: 2.1.0
GDPR Cookie Consent (2 vulnerabilità)
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control (x2)
- CVE: 2025-14061, 2025-66133
- ✅ Aggiorna a: 4.0.8
Gutenverse Form
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68511
- ✅ Aggiorna a: 2.3.2
JetWidgets For Elementor
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-8195
- ✅ Aggiorna a: 1.0.21
Lightweight Accordion
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13740
- ✅ Aggiorna a: 1.6.0
Live Composer
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13537
- ✅ Aggiorna a: 2.0.3
myCred
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-12361
- ✅ Aggiorna a: 2.9.7.2
Real 3D Flipbook
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-68512
- ✅ Aggiorna a: 4.16.4
Restrict Content
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14000
- ✅ Aggiorna a: 3.2.16
WP-ShowHide
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-67541
- ✅ Aggiorna a: 1.06
Health Check & Troubleshooting
- Installazioni: 300.000+
- Vulnerabilità: Path Traversal
- CVE: 2025-64253
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Expand Maker (Read More & Accordion)
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-64247
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Protect WP Admin
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-64249
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
🛡️ Temi WordPress vulnerabili
Sono stati identificati 10 temi con vulnerabilità di sicurezza, tutti con patch disponibili. Le vulnerabilità più comuni sono Local File Inclusion e SSRF.
- Besa (2.3.16) – Local File Inclusion
- Ekommart (4.3.1) – Local File Inclusion
- Fashion (5.3.0) – Local File Inclusion
- Hara (1.2.18) – Local File Inclusion
- Kerge (4.1.4) – Server Side Request Forgery (SSRF)
- Sailing (4.4.6) – Broken Access Control + Local File Inclusion
- Sober (3.5.12) – Sensitive Data Exposure
- Urna (2.5.13) – Local File Inclusion
- Wilmër (3.5) – Local File Inclusion
✅ Raccomandazioni finali
- Priorità massima: Aggiorna immediatamente tutti i plugin con vulnerabilità Critical e High, specialmente quelli con oltre 50.000 installazioni.
- Disattiva i plugin non patchati: Se utilizzi uno dei 26 plugin senza patch, valuta alternative o disattivali fino al rilascio di un fix.
- Backup preventivo: Prima di qualsiasi aggiornamento massivo, esegui un backup completo del sito.
- Test in staging: Per siti in produzione con configurazioni complesse, testa gli aggiornamenti in ambiente di staging.
- Monitora WordPress Core: La versione 6.9 è stabile e sicura, ma tieniti aggiornato su eventuali rilasci futuri.
⚠️ Ci sono altri 58 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un’analisi completa.