Report Sicurezza WordPress – 31 Dicembre 2025: 139 Vulnerabilità, 9 Critical Senza Patch
🚨 Allarme rosso: vulnerabilità critiche attive
Chiudiamo il 2025 con un bollettino di sicurezza da record: 9 vulnerabilità critiche identificate, di cui 5 ancora senza patch disponibile. Diverse riguardano plugin con decine di migliaia di installazioni attive.
Advanced Ads
- Installazioni: 100.000+
- Vulnerabilità: Remote Code Execution (RCE)
- CVE: 2025-13592
- ✅ Soluzione: Aggiorna alla versione 2.0.15
Print Invoice & Delivery Notes for WooCommerce
- Installazioni: 30.000+
- Vulnerabilità: Remote Code Execution (RCE)
- CVE: 2025-13773
- ✅ Soluzione: Aggiorna alla versione 5.9.0
Ocean Modal Window
- Installazioni: 10.000+
- Vulnerabilità: Remote Code Execution (RCE)
- CVE: 2025-13307
- ✅ Soluzione: Aggiorna alla versione 2.3.3
Gravity Forms
- Installazioni: Dato non disponibile
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-13407
- ✅ Soluzione: Aggiorna alla versione 2.9.23.1
⛔ Vulnerabilità critiche senza patch
Situazione allarmante per questi plugin che presentano vulnerabilità critiche ma non hanno ancora rilasciato aggiornamenti di sicurezza. È consigliato disattivarli immediatamente fino al rilascio delle patch.
File Uploader for WooCommerce
- Installazioni: 100+
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-13329
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Mobile builder
- Installazioni: 100+
- Vulnerabilità: Broken Authentication
- CVE: 2025-68860
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
IF AS Shortcode
- Installazioni: 10+
- Vulnerabilità: Remote Code Execution (RCE)
- CVE: 2025-68897
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Flex Store Users
- Installazioni: Dato non disponibile
- Vulnerabilità: Privilege Escalation
- CVE: 2025-13619
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
🔴 Vulnerabilità ad alto rischio patchate
Questi plugin hanno rilasciato aggiornamenti di sicurezza per vulnerabilità classificate come “High”. L’aggiornamento è fortemente raccomandato.
Beaver Builder Page Builder
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-12934
- ✅ Soluzione: Aggiorna alla versione 2.9.4.2
User Feedback
- Installazioni: 200.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-68496
- ✅ Soluzione: Aggiorna alla versione 1.10.1
PhastPress
- Installazioni: 10.000+
- Vulnerabilità: Arbitrary File Download
- CVE: 2025-14388
- ✅ Soluzione: Aggiorna alla versione 3.8
Plugin Organizer
- Installazioni: 10.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-13417
- ✅ Soluzione: Aggiorna alla versione 10.2.4
URL Shortify
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13355
- ✅ Soluzione: Aggiorna alla versione 1.11.4
Docket Cache
- Installazioni: 20.000+
- Vulnerabilità: Local File Inclusion
- CVE: 2025-68506
- ✅ Soluzione: Aggiorna alla versione 24.07.04
📋 Altri aggiornamenti importanti (rischio medio)
Plugin con oltre 10.000 installazioni che hanno ricevuto patch per vulnerabilità di severità media. L’aggiornamento è comunque consigliato per mantenere il sito sicuro.
WooCommerce
- Installazioni: 7.000.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-15033
- ✅ Soluzione: Aggiorna alla versione 10.4.3
Premium Addons for Elementor
- Installazioni: 700.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-14163
- ✅ Soluzione: Aggiorna alla versione 4.11.54
PixelYourSite
- Installazioni: 500.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-14280
- ✅ Soluzione: Aggiorna alla versione 11.1.5.1
Happy Addons for Elementor
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14635
- ✅ Soluzione: Aggiorna alla versione 3.20.4
Astra Widgets
- Installazioni: 200.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-68497
- ✅ Soluzione: Aggiorna alla versione 1.2.17
GiveWP
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-67467
- ✅ Soluzione: Aggiorna alla versione 4.13.2
Popup Box
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-69021
- ✅ Soluzione: Aggiorna alla versione 6.0.8
Interactive Content – H5P
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68505
- ✅ Soluzione: Aggiorna alla versione 1.16.2
My Sticky Elements
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68995
- ✅ Soluzione: Aggiorna alla versione 2.3.4
Stratum Widgets for Elementor
- Installazioni: 30.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69013
- ✅ Soluzione: Aggiorna alla versione 1.6.2
Brave Popup Builder
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68508
- ✅ Soluzione: Aggiorna alla versione 0.8.4
Bold Timeline Lite
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-68513
- ✅ Soluzione: Aggiorna alla versione 1.2.8
Restrict Content
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14000
- ✅ Soluzione: Aggiorna alla versione 3.2.16
weForms
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69028
- ✅ Soluzione: Aggiorna alla versione 1.6.26
YaMaps for WordPress
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13958
- ✅ Soluzione: Aggiorna alla versione 0.6.40
🔍 Vulnerabilità non patchate ad alto impatto
Plugin con installazioni significative che presentano vulnerabilità ancora senza soluzione:
Shortcodes and extra features for Phlox theme
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69016
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Crowdsignal Forms
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69015
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Comments – wpDiscuz
- Installazioni: 80.000+
- Vulnerabilità: Insecure Direct Object References (IDOR)
- CVE: 2025-68997
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Popup builder with Gamification
- Installazioni: 40.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-69026
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Custom Field Template
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-68607
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
Event Organiser
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69012
- ❌ Soluzione: NESSUNA PATCH DISPONIBILE
🎨 Vulnerabilità nei temi WordPress
Sono state identificate 9 vulnerabilità in temi WordPress, di cui 5 ancora senza patch. I temi Diza, Fana, Nika e Zota hanno rilasciato aggiornamenti per correggere vulnerabilità di Local File Inclusion (LFI) ad alto rischio.
⚠️ Temi non patchati: Arcane, Backpack Traveler, FiveStar, Medicalequipment e Struktur presentano vulnerabilità di tipo Broken Access Control e IDOR senza correzioni disponibili.
📊 Statistiche complessive
- Totale vulnerabilità: 139 (130 plugin + 9 temi)
- Plugin patchati: 62
- Plugin non patchati: 68
- Vulnerabilità critiche: 9 (5 senza patch)
- Vulnerabilità ad alto rischio: 23
- WordPress Core: Nessuna vulnerabilità rilevata nella versione 6.9
💡 Raccomandazioni immediate
- Backup completo: Esegui un backup completo del sito prima di qualsiasi aggiornamento
- Ambiente di test: Testa gli aggiornamenti in un ambiente non-produzione
- Priorità agli aggiornamenti critici: Concentrati su Advanced Ads, WooCommerce, Print Invoice & Delivery Notes
- Disattiva plugin vulnerabili: Se utilizzi plugin critici senza patch, valuta la disattivazione temporanea
- Monitora i plugin non patchati: Controlla regolarmente gli aggiornamenti per i 68 plugin ancora vulnerabili
⚠️ Ci sono altri 95 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per verificare se ne utilizzi qualcuno.
🎯 Nota sulla versione WordPress 6.9 “Gene”: Rilasciata il 2 dicembre 2025, questa versione introduce importanti novità come il sistema di commenti a livello di blocco (Notes), l’espansione della Command Palette e la nuova Abilities API. Non sono state rilevate vulnerabilità nel core, ma si consiglia comunque di testare l’aggiornamento in ambienti non-produzione prima del rilascio su siti live.