Report Sicurezza WordPress – 4 Febbraio 2026: 150 vulnerabilità non risolte e allarme critico per 15 plugin popolari
8 min di lettura
••LOUD Team
📊 Panoramica della settimana
Il report di sicurezza di questa settimana evidenzia una situazione preoccupante: 638 vulnerabilità totali rilevate nell’ecosistema WordPress, di cui 488 sono state risolte con patch di sicurezza e 150 rimangono senza soluzione. Particolarmente allarmante è la presenza di 15 plugin con più di 10.000 installazioni attive che presentano vulnerabilità critiche o ad alto rischio.
WordPress Core 6.9.1 è stato rilasciato il 3 febbraio 2026 come aggiornamento di manutenzione, risolvendo 49 bug ma senza nuove vulnerabilità di sicurezza segnalate. La prossima versione maggiore, WordPress 7.0, è prevista per il 9 aprile 2026.
🚨 Allarme rosso
I seguenti plugin ad alto traffico presentano vulnerabilità critiche o ad alto rischio che richiedono intervento immediato:
GiveWP – Donation plugin
- Installazioni: 100.000+
- Vulnerabilità: PHP Object Injection
- CVE: 2024-5932
- ✅ Soluzione: Aggiorna alla versione 3.14.2
Profile builder – User registration
- Installazioni: 50.000+
- Vulnerabilità: Privilege Escalation
- CVE: 2024-6695
- ✅ Soluzione: Aggiorna alla versione 3.11.9
Login customizer
- Installazioni: 90.000+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-14975
- ✅ Soluzione: Aggiorna alla versione 2.5.4
Hustle – Email marketing
- Installazioni: 90.000+
- Vulnerabilità: Arbitrary File Upload
- CVE: 2026-0911
- ✅ Soluzione: Aggiorna alla versione 7.8.9.3
GiveWP – Donation plugin
- Installazioni: 100.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-8620
- ✅ Soluzione: Aggiorna alla versione 4.6.1
WP ghost – Security & firewall
- Installazioni: 100.000+
- Vulnerabilità: Arbitrary File Download
- CVE: 2025-2056
- ✅ Soluzione: Aggiorna alla versione 5.4.02
The plus addons for Elementor
- Installazioni: 100.000+
- Vulnerabilità: Local File Inclusion
- CVE: 2024-2210
- ✅ Soluzione: Aggiorna alla versione 5.4.2
Advanced Google reCAPTCHA
- Installazioni: 200.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-2074
- ✅ Soluzione: Aggiorna alla versione 1.30
FileOrganizer – WordPress file manager
- Installazioni: 200.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2024-5599
- ✅ Soluzione: Aggiorna alla versione 1.0.8
Redirection for Contact Form 7
- Installazioni: 200.000+
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-14800
- ✅ Soluzione: Aggiorna alla versione 3.2.8
SureForms – Contact form builder
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14855
- ✅ Soluzione: Aggiorna alla versione 2.2.1
Post grid Gutenberg blocks – PostX
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2024-5326
- ✅ Soluzione: Aggiorna alla versione 4.1.3
Quiz and Survey Master (QSM)
- Installazioni: 40.000+
- Vulnerabilità: SQL Injection
- CVE: 2024-5606
- ✅ Soluzione: Aggiorna alla versione 9.0.2
Quiz and Survey Master (QSM)
- Installazioni: 40.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-67987
- ✅ Soluzione: Aggiorna alla versione 10.3.2
SEO Plugin by Squirrly SEO
- Installazioni: 30.000+
- Vulnerabilità: SQL Injection
- CVE: 2024-6497
- ✅ Soluzione: Aggiorna alla versione 12.3.20
⛔ Plugin non patchati – priorità massima
Questi plugin ad alta diffusione non hanno ancora una patch disponibile. Se li utilizzi, considera la loro disattivazione temporanea o cerca alternative:
LazyTasks – Project & task management
- Installazioni: 80+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-12963
- ❌ Soluzione: NESSUNA PATCH
Directorist: AI-powered business directory
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68069
- ❌ Soluzione: NESSUNA PATCH
Shiprocket
- Installazioni: 10.000+
- Vulnerabilità: Insecure Direct Object References (IDOR)
- CVE: 2025-68051
- ❌ Soluzione: NESSUNA PATCH
NextMove Lite – Thank you page for WooCommerce
- Installazioni: 10.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68048
- ❌ Soluzione: NESSUNA PATCH
New user approve
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-0832
- ❌ Soluzione: NESSUNA PATCH
📋 Altri aggiornamenti importanti
Plugin con gravità media che richiedono comunque attenzione e aggiornamento:
All in One SEO
- Installazioni: 3.000.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-3368
- ✅ Soluzione: Aggiorna alla versione 4.6.1.1
Essential Addons for Elementor
- Installazioni: 2.000.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 6.1.13
ElementsKit Elementor addons
- Installazioni: 1.000.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-3614
- ✅ Soluzione: Aggiorna alla versione 3.5.3
Spectra Gutenberg blocks
- Installazioni: 1.000.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2026-0950
- ✅ Soluzione: Aggiorna alla versione 2.19.18
Cookie Notice & Compliance for GDPR
- Installazioni: 900.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-11186
- ✅ Soluzione: Aggiorna alla versione 2.5.9
Premium Addons for Elementor
- Installazioni: 700.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 4.10.32
Fluent Forms
- Installazioni: 600.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-6518, 2024-6521
- ✅ Soluzione: Aggiorna alla versione 5.1.20
Ninja Forms
- Installazioni: 600.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-2560, 2025-2561
- ✅ Soluzione: Aggiorna alla versione 3.10.1
Royal Addons for Elementor
- Installazioni: 600.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 1.7.1013
Kadence Blocks with AI
- Installazioni: 500.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-4208, 2024-4209, 2024-12581
- ✅ Soluzione: Aggiorna alla versione 3.2.54
Ocean Extra
- Installazioni: 500.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-3458
- ✅ Soluzione: Aggiorna alla versione 2.4.7
Happy Addons for Elementor
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 3.20.8
WP Shortcodes Plugin – Shortcodes Ultimate
- Installazioni: 400.000+
- Vulnerabilità: Server Side Request Forgery (SSRF)
- CVE: 2025-12800
- ✅ Soluzione: Aggiorna alla versione 7.4.6
NextGEN Gallery
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-2537
- ✅ Soluzione: Aggiorna alla versione 3.59.12
Pagelayer – Drag and drop website builder
- Installazioni: 400.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-8426
- ✅ Soluzione: Aggiorna alla versione 1.8.8
GDPR Cookie Compliance
- Installazioni: 300.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: 2025-1619, 2025-1620, 2025-1621, 2025-1624
- ✅ Soluzione: Aggiorna alla versione 4.15.9
Unlimited Elements for Elementor
- Installazioni: 300.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-13153, 2025-14274, 2024-6170
- ✅ Soluzione: Aggiorna alla versione 2.0.2
WP Go Maps
- Installazioni: 300.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-0593
- ✅ Soluzione: Aggiorna alla versione 10.0.05
Photo Gallery by 10Web
- Installazioni: 200.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-10704
- ✅ Soluzione: Aggiorna alla versione 1.8.31
Ultimate Member
- Installazioni: 200.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13220
- ✅ Soluzione: Aggiorna alla versione 2.11.1
Ivory Search – WordPress search plugin
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2026-1053
- ✅ Soluzione: Aggiorna alla versione 5.5.14
Element Pack Addons for Elementor
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 5.10.3
EmbedPress
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-1565, 2024-2688, 2024-3245
- ✅ Soluzione: Aggiorna alla versione 3.9.15
Modula Image Gallery
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13891
- ✅ Soluzione: Aggiorna alla versione 2.13.4
Presto Player
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-2428
- ✅ Soluzione: Aggiorna alla versione 2.2.3
Relevanssi – A better search
- Installazioni: 100.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-14719
- ✅ Soluzione: Aggiorna alla versione 4.26.0
Tutor LMS
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-13935
- ✅ Soluzione: Aggiorna alla versione 3.9.4
ProfilePress
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-10518, 2024-13120, 2024-13121
- ✅ Soluzione: Aggiorna alla versione 4.15.20
Addon Elements for Elementor
- Installazioni: 90.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 1.13.7
Booking for Appointments – Amelia
- Installazioni: 90.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14720
- ✅ Soluzione: Aggiorna alla versione 2.0.0
Auxin Elements
- Installazioni: 90.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 2.17.14
JetFormBuilder
- Installazioni: 90.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-11991
- ✅ Soluzione: Aggiorna alla versione 3.5.4
HT Mega – Addons for Elementor
- Installazioni: 80.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-2084, 2024-3308, 2024-3989, 2024-5173
- ✅ Soluzione: Aggiorna alla versione 2.5.6
LearnPress
- Installazioni: 80.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-9881
- ✅ Soluzione: Aggiorna alla versione 4.2.7.2
MaxButtons
- Installazioni: 80.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-8968
- ✅ Soluzione: Aggiorna alla versione 9.8.1
Brizy – Page builder
- Installazioni: 70.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-1293, 2024-1940
- ✅ Soluzione: Aggiorna alla versione 2.4.42
Featured Image from URL (FIFU)
- Installazioni: 70.000+
- Vulnerabilità: Server Side Request Forgery (SSRF)
- CVE: 2025-13393
- ✅ Soluzione: Aggiorna alla versione 5.3.2
Email Subscribers & Newsletters
- Installazioni: 60.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 5.7.45
Master Slider
- Installazioni: 60.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2024-6490
- ✅ Soluzione: Aggiorna alla versione 3.10.0
Booking Calendar
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-12804, 2024-10893
- ✅ Soluzione: Aggiorna alla versione 10.14.14
Tag, Category, and Taxonomy Manager
- Installazioni: 50.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-13922
- ✅ Soluzione: Aggiorna alla versione 3.41.0
Ultimate Blocks
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 3.3.4
WP Recipe Maker
- Installazioni: 50.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-24357
- ✅ Soluzione: Aggiorna alla versione 10.3.0
Livemesh Addons by Elementor
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 8.4
Ajax Load More
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-15525
- ✅ Soluzione: Aggiorna alla versione 7.8.2
Carousel Slider
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-5647
- ✅ Soluzione: Aggiorna alla versione 2.2.15
Easy Digital Downloads
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-6691
- ✅ Soluzione: Aggiorna alla versione 3.3.3
Form Maker by 10Web
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-10562
- ✅ Soluzione: Aggiorna alla versione 1.15.31
FunnelKit – Funnel builder for WooCommerce
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-12878
- ✅ Soluzione: Aggiorna alla versione 3.13.1.3
Genesis Blocks
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-2761, 2024-3901
- ✅ Soluzione: Aggiorna alla versione 3.1.4
Robo Gallery
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-5647
- ✅ Soluzione: Aggiorna alla versione 3.2.23
YITH WooCommerce Ajax Search
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-7846
- ✅ Soluzione: Aggiorna alla versione 2.7.1
Ditty – Responsive news tickers
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-6715
- ✅ Soluzione: Aggiorna alla versione 3.1.46
Piotnet Addons for Elementor
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-4262
- ✅ Soluzione: Aggiorna alla versione 2.4.29
Post Grid
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-1988, 2024-4042
- ✅ Soluzione: Aggiorna alla versione 2.2.81
Stop Spammers Classic
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2025-14795
- ✅ Soluzione: Aggiorna alla versione 2026.2
ThirstyAffiliates
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2026-25024
- ✅ Soluzione: Aggiorna alla versione 3.11.10
Tutor LMS Elementor Addons
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-5576
- ✅ Soluzione: Aggiorna alla versione 2.1.5
WP Video Lightbox
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-2540
- ✅ Soluzione: Aggiorna alla versione 1.9.12
Xpro Addons – Widgets for Elementor
- Installazioni: 30.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-2108
- ✅ Soluzione: Aggiorna alla versione 1.4.8
Image Photo Gallery Final Tiles Grid
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-13693
- ✅ Soluzione: Aggiorna alla versione 3.6.9
Icegram Engage
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-13482
- ✅ Soluzione: Aggiorna alla versione 3.1.32
Secure Copy Content Protection
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2024-6889
- ✅ Soluzione: Aggiorna alla versione 4.1.7
Ultimate Addons for Beaver Builder
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Scripting (XSS) – Multiple
- CVE: Diversi CVE
- ✅ Soluzione: Aggiorna alla versione 1.5.8
Welcart e-Commerce
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-9367
- ✅ Soluzione: Aggiorna alla versione 2.11.21
UsersWP
- Installazioni: 20.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2026-25015
- ✅ Soluzione: Aggiorna alla versione 1.2.54
🔐 Raccomandazioni finali
⚠️ Ci sono altri 380+ plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo.
Azioni immediate consigliate:
- Esegui un backup completo prima di qualsiasi aggiornamento
- Aggiorna immediatamente tutti i plugin con vulnerabilità critiche o alte
- Disattiva temporaneamente i plugin non patchati se non strettamente necessari
- Implementa un WAF (Web Application Firewall) per protezione aggiuntiva
- Monitora i log per attività sospette
- Considera alternative per i plugin abbandonati senza patch
Per rimanere aggiornato sulle vulnerabilità di sicurezza WordPress, iscriviti alla nostra newsletter settimanale e attiva le notifiche automatiche degli aggiornamenti di sicurezza sul tuo sito.