LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 1 Aprile 2026: 90 Plugin Senza Patch e Vulnerabilità Critiche

6 min di lettura
admin
Report Sicurezza WordPress – 1 Aprile 2026: 90 Plugin Senza Patch e Vulnerabilità Critiche

📊 Panoramica della settimana

Il report di sicurezza del 1 aprile 2026 evidenzia una situazione preoccupante: su 203 vulnerabilità totali rilevate tra plugin e temi WordPress, ben 90 plugin restano senza patch disponibile. Sono stati corretti 113 plugin e 21 temi, ma rimangono numerosi rischi attivi che richiedono attenzione immediata.

WordPress 6.9.4 è disponibile con correzioni per 10 problemi di sicurezza. L’aggiornamento è fortemente raccomandato per tutti i siti in produzione. WordPress 7.0 è previsto per il 9 aprile 2026.

🚨 Allarme rosso: vulnerabilità critiche nei plugin più diffusi

Questi plugin hanno vulnerabilità di gravità Critical o High con oltre 10.000 installazioni attive. Aggiorna immediatamente o disattiva se non è disponibile una patch.

JetFormBuilder

  • Installazioni: 90.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-32525
  • ✅ Soluzione: Aggiorna alla versione 3.5.6.2

Fonts Manager | Custom Fonts

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-1800
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Woody Code Snippets

  • Installazioni: 60.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-25366
  • ✅ Soluzione: Aggiorna alla versione 2.7.2

WP Maps

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2580
  • ✅ Soluzione: Aggiorna alla versione 4.9.2

Mixed Media Gallery Blocks

  • Installazioni: 40.000+
  • Vulnerabilità: Arbitrary Code Execution
  • CVE: 2026-25345
  • ✅ Soluzione: Aggiorna alla versione 3.3.2.1

Quentn WP

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2468
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

WP DSGVO Tools (GDPR)

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4283
  • ✅ Soluzione: Aggiorna alla versione 3.1.39

Kali Forms

  • Installazioni: 10.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-3584
  • ✅ Soluzione: Aggiorna alla versione 2.4.10

WPCargo Track & Trace

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25401
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

SureForms

  • Installazioni: 500.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4987
  • ✅ Soluzione: Aggiorna alla versione 2.6.0

Ultimate Member

  • Installazioni: 200.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-4248
  • ✅ Soluzione: Aggiorna alla versione 2.11.3

Amelia Booking

  • Installazioni: 90.000+
  • Vulnerabilità: Broken Authentication
  • CVE: 2026-2931
  • ✅ Soluzione: Aggiorna alla versione 9.2

JetFormBuilder (seconda vulnerabilità)

  • Installazioni: 90.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2026-4373
  • ✅ Soluzione: Aggiorna alla versione 3.5.6.3

Import and export users

  • Installazioni: 80.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-3629
  • ✅ Soluzione: Aggiorna alla versione 2.0

Jupiter X Core

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3533
  • ✅ Soluzione: Aggiorna alla versione 4.14.2

User Registration & Membership

  • Installazioni: 60.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-32488
  • ✅ Soluzione: Aggiorna alla versione 5.1.3

Quiz and Survey Master (QSM)

  • Installazioni: 40.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2412
  • ✅ Soluzione: Aggiorna alla versione 11.0.0

Blackhole for Bad Bots

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4329
  • ✅ Soluzione: Aggiorna alla versione 3.8.1

Fluent Booking

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2231
  • ✅ Soluzione: Aggiorna alla versione 2.0.05

User Frontend (WP User Frontend)

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-32485
  • ✅ Soluzione: Aggiorna alla versione 4.2.9

Frontend Admin by DynamiApps

  • Installazioni: 10.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-3328
  • ✅ Soluzione: Aggiorna alla versione 3.28.32

Lead Form Builder & Contact Form

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-32532
  • ✅ Soluzione: Aggiorna alla versione 2.0.2

Team – Team Members Showcase

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25026
  • ✅ Soluzione: Aggiorna alla versione 5.0.12

weForms

  • Installazioni: 10.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-32484
  • ✅ Soluzione: Aggiorna alla versione 1.6.27

WP REST Cache

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-25347
  • ✅ Soluzione: Aggiorna alla versione 2026.1.1

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità gravi ma non hanno ancora ricevuto un aggiornamento di sicurezza. Si consiglia di disattivarli immediatamente fino al rilascio di una versione corretta.

WPCargo Track & Trace

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25401
  • Gravità: High

MimeTypes Link Icons

  • Installazioni: 8.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-1313
  • Gravità: High

Fonts Manager | Custom Fonts

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-1800
  • Gravità: Critical

Quentn WP

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2468
  • Gravità: Critical

CMS Commander

  • Installazioni: Non specificato
  • Vulnerabilità: SQL Injection
  • CVE: 2026-3334
  • Gravità: High

ElementCamp

  • Installazioni: Non specificato
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2503
  • Gravità: High

Expire Users

  • Installazioni: Non specificato
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-4261
  • Gravità: High

Linksy Search and Replace

  • Installazioni: Non specificato
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2941
  • Gravità: High

myLinksDump

  • Installazioni: Non specificato
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2279
  • Gravità: High

Performance Monitor

  • Installazioni: Non specificato
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-1648
  • Gravità: High

Pre* Party Resource Hints

  • Installazioni: Non specificato
  • Vulnerabilità: SQL Injection
  • CVE: 2026-4087
  • Gravità: High

rexCrawler

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2277
  • Gravità: High

📋 Altri aggiornamenti importanti (gravità media)

I seguenti plugin con installazioni superiori a 10.000 presentano vulnerabilità di gravità media. Anche se meno critiche, è comunque consigliato aggiornare quanto prima.

Elementor Website Builder

  • Installazioni: 10.000.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-1206
  • ✅ Soluzione: Aggiorna alla versione 3.35.8

Yoast SEO

  • Installazioni: 10.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3427
  • ✅ Soluzione: Aggiorna alla versione 27.2

WPForms

  • Installazioni: 6.000.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-25339
  • ✅ Soluzione: Aggiorna alla versione 1.9.9.2

Complianz – GDPR/CCPA

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2389
  • ✅ Soluzione: Aggiorna alla versione 7.4.5

Smart Slider 3

  • Installazioni: 800.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2026-3098
  • ✅ Soluzione: Aggiorna alla versione 3.5.1.34

Ninja Forms

  • Installazioni: 600.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-1307
  • ✅ Soluzione: Aggiorna alla versione 3.14.2

Pagelayer

  • Installazioni: 400.000+
  • Vulnerabilità: Content Injection
  • CVE: 2026-2442
  • ✅ Soluzione: Aggiorna alla versione 2.0.8

ShortPixel Image Optimizer

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4335
  • ✅ Soluzione: Aggiorna alla versione 6.4.4

LatePoint

  • Installazioni: 100.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-32533
  • ✅ Soluzione: Aggiorna alla versione 5.2.7

Download Monitor

  • Installazioni: 90.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-3124
  • ✅ Soluzione: Aggiorna alla versione 5.1.8

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3225
  • ✅ Soluzione: Aggiorna alla versione 4.3.3

Conditional Menus

  • Installazioni: 60.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-1032
  • ✅ Soluzione: Aggiorna alla versione 1.2.7

User Registration & Membership

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4056
  • ✅ Soluzione: Aggiorna alla versione 5.1.5

Product Filter for WooCommerce

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3138
  • ✅ Soluzione: Aggiorna alla versione 3.1.3

Blog2Social

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4331
  • ✅ Soluzione: Aggiorna alla versione 8.8.3

Sina Extension for Elementor

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-6229
  • ✅ Soluzione: Aggiorna alla versione 3.7.1

Smart Custom Fields

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4066
  • ✅ Soluzione: Aggiorna alla versione 5.0.7

Mixed Media Gallery Blocks

  • Installazioni: 40.000+
  • Vulnerabilità: Arbitrary Code Execution
  • CVE: 2026-25345
  • ✅ Soluzione: Aggiorna alla versione 3.3.2.1

LeadConnector

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-1890
  • ✅ Soluzione: Aggiorna alla versione 3.0.22

PPWP – Password Protect Pages

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-32562
  • ✅ Soluzione: Aggiorna alla versione 1.9.16

WPGraphQL

  • Installazioni: 30.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-33290
  • ✅ Soluzione: Aggiorna alla versione 2.10

WP Lightbox 2

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1430
  • ✅ Soluzione: Aggiorna alla versione 3.0.7

Ibtana – WordPress Website Builder

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1834
  • ✅ Soluzione: Aggiorna alla versione 1.2.5.8

Quads Ads Manager

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2595
  • ✅ Soluzione: Aggiorna alla versione 2.0.99

Twentig

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2602
  • ✅ Soluzione: Aggiorna alla versione 2.0

King Addons for Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-13997
  • ✅ Soluzione: Aggiorna alla versione 51.1.51

Responsive Plus

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary Code Execution
  • CVE: 2025-15488
  • ✅ Soluzione: Aggiorna alla versione 3.4.3

Five Star Restaurant Reservations

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-25327
  • ✅ Soluzione: Aggiorna alla versione 2.7.10

Review Schema

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-25344
  • ✅ Soluzione: Aggiorna alla versione 2.2.7

YML for Yandex Market

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2026-32567
  • ✅ Soluzione: Aggiorna alla versione 5.3.0

🎨 Vulnerabilità nei temi WordPress

Sono state rilevate 22 vulnerabilità nei temi WordPress. 21 temi hanno ricevuto una patch, mentre 1 tema rimane senza correzione.

Tema senza patch:

Apicona – PHP Object Injection (CVE: 2026-25400) – Gravità: High – Nessuna patch disponibile

Temi aggiornati (selezione):

  • Ona – Arbitrary File Upload (Critical) – Aggiorna alla versione 1.24
  • Borgholm – PHP Object Injection (Critical) – Aggiorna alla versione 1.6
  • Goldish – PHP Object Injection (Critical) – Aggiorna alla versione 3.47
  • KIDZ – PHP Object Injection (Critical) – Aggiorna alla versione 5.25
  • Jobmonster – SQL Injection (Critical) – Aggiorna alla versione 4.8.4
  • Ricky – PHP Object Injection (Critical) – Aggiorna alla versione 2.31
  • Tastydaily – PHP Object Injection (Critical) – Aggiorna alla versione 1.27

✅ Raccomandazioni immediate

  1. Aggiorna WordPress Core alla versione 6.9.4 per correggere 10 problemi di sicurezza
  2. Verifica i plugin installati confrontandoli con l’elenco sopra
  3. Aggiorna tutti i plugin vulnerabili che hanno una patch disponibile
  4. Disattiva immediatamente i plugin senza patch che presentano vulnerabilità critiche o alte
  5. Esegui backup completi prima di qualsiasi aggiornamento
  6. Testa gli aggiornamenti in ambiente di staging quando possibile
  7. Monitora i log di sicurezza per individuare eventuali tentativi di exploit

⚠️ Ci sono altri 67 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo e verifica se utilizzi uno di questi componenti meno diffusi.

📅 Prossimi aggiornamenti

WordPress 7.0 è previsto per il 9 aprile 2026. La Release Candidate 2 (RC2) è già disponibile per test in ambienti di staging tramite il plugin Beta Tester, download diretto, WP-CLI o WordPress Playground.

Ultimo aggiornamento: 1 aprile 2026