LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 3 dicembre 2025: 102 vulnerabilità, 10 plugin critici senza patch

4 min di lettura
LOUD Team
Report Sicurezza WordPress – 3 dicembre 2025: 102 vulnerabilità, 10 plugin critici senza patch

📊 Panoramica della settimana

Il report di sicurezza del 3 dicembre 2025 evidenzia una situazione preoccupante: 102 vulnerabilità totali distribuite tra 63 plugin patchati, 39 plugin non patchati, 2 temi patchati e 2 temi non patchati. WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità questa settimana.

⚠️ Dato allarmante: 10 vulnerabilità con severità critica sono ancora senza patch, mettendo a rischio migliaia di installazioni.

🚨 Allarme rosso

Questi plugin ad alto traffico presentano vulnerabilità critiche o ad alta gravità. Se li utilizzi, intervieni immediatamente.

Unlimited Elements for Elementor

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13692
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 2.0.1

OneClick Chat to Order

  • Installazioni: 40.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-13526
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.0.9

PowerPress Podcasting plugin by Blubrry

  • Installazioni: 30.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13536
  • Severità: Critical
  • ✅ Soluzione: Aggiorna alla versione 11.15.3

Visualizer: Tables and Charts Manager for WordPress

  • Installazioni: 20.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12483
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 3.11.13

WP Webhooks

  • Installazioni: 20.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2025-66073
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 3.3.9

Customer Reviews Collector for WooCommerce

  • Installazioni: 5.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12125
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 4.7

VikRentCar Car Rental Management System

  • Installazioni: 4.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13724
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.4.5

WP Directory Kit

  • Installazioni: 3.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13090
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.4.7

WP Directory Kit

  • Installazioni: 3.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13525
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.4.6

KiviCare – Clinic & Patient Management System

  • Installazioni: 2.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-66095
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 3.6.14

Vitepos – Point of Sale for WooCommerce

  • Installazioni: 2.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13156
  • Severità: Critical
  • ✅ Soluzione: Aggiorna alla versione 3.3.1

CP Contact Form with PayPal

  • Installazioni: 1.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13384
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.3.57

Tainacan

  • Installazioni: 1.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-12746
  • Severità: High
  • ✅ Soluzione: Aggiorna alla versione 1.0.1

⛔ Plugin critici non patchati

Questi plugin presentano vulnerabilità critiche senza patch disponibile. Se li utilizzi, considera la disattivazione immediata o la ricerca di alternative.

EduKart Pro

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-13559
  • Severità: Critical
  • ❌ Patch: Non disponibile

Mstore Mobile App

  • Installazioni: 500+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-11127
  • Severità: Critical
  • ❌ Patch: Non disponibile

ProjectList

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-13376
  • Severità: Critical
  • ❌ Patch: Non disponibile

FindAll Membership

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Broken Authentication
  • CVE: 2025-13539
  • Severità: Critical
  • ❌ Patch: Non disponibile (versione 1.1)

Sneeit Framework

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-6389
  • Severità: Critical
  • ❌ Patch: Non disponibile (versione 8.4)

Tiare Membership

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-13540
  • Severità: Critical
  • ❌ Patch: Non disponibile (versione 1.3)

WavePlayer

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-12057
  • Severità: Critical
  • ❌ Patch: Non disponibile (versione 3.8.0)

Tiger (tema)

  • Installazioni: Dati non disponibili
  • Vulnerabilità: Privilege Escalation
  • CVE: 2025-13675
  • Severità: Critical
  • ❌ Patch: Non disponibile

Job Board by BestWebSoft

  • Installazioni: 80+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13383
  • Severità: High
  • ❌ Patch: Non disponibile

Attention Bar

  • Installazioni: Dati non disponibili
  • Vulnerabilità: SQL Injection
  • CVE: 2025-12502
  • Severità: High
  • ❌ Patch: Non disponibile

📋 Altri aggiornamenti importanti

Plugin con più di 10.000 installazioni che hanno ricevuto patch per vulnerabilità di media gravità:

All in One SEO

  • Installazioni: 3.000.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-64295
  • ✅ Soluzione: Aggiorna alla versione 4.8.7

WP Fastest Cache

  • Installazioni: 1.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-10476
  • ✅ Soluzione: Aggiorna alla versione 1.4.1

Nextend Social Login and Register

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-13737
  • ✅ Soluzione: Aggiorna alla versione 3.1.22

Beaver Builder Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-11726
  • ✅ Soluzione: Aggiorna alla versione 2.9.4.1

Folders

  • Installazioni: 90.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-12971
  • ✅ Soluzione: Aggiorna alla versione 3.1.6

JetFormBuilder

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-64384
  • ✅ Soluzione: Aggiorna alla versione 3.5.4

Blog2Social

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-13558
  • ✅ Soluzione: Aggiorna alla versione 8.7.1

Bold Page Builder

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-66057
  • ✅ Soluzione: Aggiorna alla versione 5.5.3

Search Exclude

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-10646
  • ✅ Soluzione: Aggiorna alla versione 2.5.8

Gutenverse

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66065
  • ✅ Soluzione: Aggiorna alla versione 3.3.0

UsersWP

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66072
  • ✅ Soluzione: Aggiorna alla versione 1.2.48

BlockArt Blocks

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13697
  • ✅ Soluzione: Aggiorna alla versione 2.2.14

eRoom

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-49919
  • ✅ Soluzione: Aggiorna alla versione 1.5.7

Gutenverse Form

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-66079
  • ✅ Soluzione: Aggiorna alla versione 2.3.0

QODE Wishlist for WooCommerce

  • Installazioni: 10.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2025-13157
  • ✅ Soluzione: Aggiorna alla versione 1.2.8

WP Ultimate Exporter

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2025-13606
  • ✅ Soluzione: Aggiorna alla versione 2.20

UiPress lite

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-10938
  • ❌ Patch: Non disponibile

UiPress lite

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-11003
  • ❌ Patch: Non disponibile

✅ WordPress Core

WordPress 6.9 “Gene” è stato rilasciato il 2 dicembre 2025 con importanti miglioramenti: sistema di commenti a livello di blocco, Command Palette espansa e la nuova Abilities API per workflow basati su AI.

Nessuna nuova vulnerabilità del core è stata segnalata questa settimana.

⚠️ Raccomandazione: Prima di aggiornare siti in produzione, effettua sempre backup completi e testa l’aggiornamento in ambiente di staging.

🎯 Raccomandazioni finali

  1. Aggiorna immediatamente i plugin con patch disponibili, soprattutto quelli critici e ad alta gravità
  2. Disattiva o rimuovi i plugin senza patch se non strettamente necessari
  3. Monitora costantemente la dashboard di sicurezza del tuo sito
  4. Implementa un Web Application Firewall (WAF) per protezione aggiuntiva
  5. Mantieni backup regolari e testati del tuo sito

⚠️ Nota: Ci sono altri 40 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per verificare se ne utilizzi qualcuno.

Report compilato il 3 dicembre 2025. I dati provengono da fonti ufficiali di sicurezza WordPress e database CVE.