LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 11 Marzo 2026: Vulnerabilità Critiche e Aggiornamenti Urgenti

5 min di lettura
admin
Report Sicurezza WordPress – 11 Marzo 2026: Vulnerabilità Critiche e Aggiornamenti Urgenti

📊 Panoramica generale

Il report di questa settimana evidenzia 69 plugin con patch disponibili e 29 plugin ancora vulnerabili senza correzioni. Particolare attenzione va dedicata ai plugin con installazioni superiori a 100.000, alcuni dei quali presentano vulnerabilità critiche.

WordPress Core 6.9.3 rimane la versione raccomandata: assicurati che tutti i tuoi siti siano aggiornati.

🚨 Allarme rosso: vulnerabilità critiche con patch disponibile

Questi plugin hanno vulnerabilità di gravità Critical o High ma fortunatamente dispongono già di una patch. L’aggiornamento è urgente e obbligatorio.

Tutor LMS

  • Installazioni: 100.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-13673
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 3.9.7

WP Mail Logging

  • Installazioni: 300.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-2471
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 1.16

Database for Contact Form 7, WPforms, Elementor forms

  • Installazioni: 70.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-2599
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 1.4.8

Drag and Drop Multiple File Upload for Contact Form 7

  • Installazioni: 60.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-3459
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 1.3.9.6

User Registration & Membership

  • Installazioni: 60.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-1492
  • Gravità: Critical
  • ✅ Soluzione: Aggiorna alla versione 5.1.3

Meta Box

  • Installazioni: 500.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2025-14675
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.11.2

Page Builder by SiteOrigin

  • Installazioni: 500.000+
  • Vulnerabilità: Local File Inclusion
  • CVE: 2026-2448
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 2.34.0

LatePoint

  • Installazioni: 100.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-1487
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.2.8

LatePoint (Privilege Escalation)

  • Installazioni: 100.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-1566
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.2.8

WP All Import

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2830
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 4.0.1

Booking for Appointments and Events Calendar – Amelia

  • Installazioni: 90.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-24963
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 2.0

wpDataTables

  • Installazioni: 70.000+
  • Vulnerabilità: Local File Inclusion
  • CVE: 2026-28039
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 6.5.0.2

Email Subscribers & Newsletters

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-1651
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.9.17

Fast Page & Post Duplicator

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2893
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 6.4

Uncanny Automator

  • Installazioni: 50.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-2269
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 7.1.0

WP-Members Membership Plugin

  • Installazioni: 50.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2363
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 3.5.6

WP RSS Aggregator

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2433
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.0.12

PostX – Post Grid Gutenberg Blocks

  • Installazioni: 40.000+
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-1273
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 5.0.9

All-in-One Video Gallery

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1706
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 4.7.5

WPZOOM Addons for Elementor

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2295
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 1.3.5

Membership Plugin – Restrict Content

  • Installazioni: 10.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-1321
  • Gravità: High
  • ✅ Soluzione: Aggiorna alla versione 3.2.21

⛔ Vulnerabilità critiche senza patch disponibile

Questi plugin presentano vulnerabilità di gravità Critical ma non hanno ancora una correzione disponibile. Se li utilizzi, considera la disattivazione immediata o la ricerca di alternative.

Widget Options

  • Installazioni: 100.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-27984
  • Gravità: Critical
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

Bus Ticket Booking with Seat Reservation

  • Installazioni: 900+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-27095
  • Gravità: Critical
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

Super Stage WP

  • Installazioni: 10+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-1542
  • Gravità: Critical
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

Lisfinity Core

  • Installazioni: N/D
  • Vulnerabilità: SQL Injection
  • CVE: 2026-22484
  • Gravità: Critical
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

LMS Elementor Pro

  • Installazioni: N/D
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-27983
  • Gravità: Critical
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

📋 Altri aggiornamenti importanti (gravità media)

Plugin con installazioni superiori a 10.000 che presentano vulnerabilità di gravità media ma con patch disponibile:

WooCommerce

  • Installazioni: 7.000.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-3589
  • ✅ Soluzione: Aggiorna alla versione 10.5.3

Enable Media Replace

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2732
  • ✅ Soluzione: Aggiorna alla versione 4.1.8

Envira Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1236
  • ✅ Soluzione: Aggiorna alla versione 1.12.4

Greenshift (CVE-2026-2371)

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2371
  • ✅ Soluzione: Aggiorna alla versione 12.8.4

Greenshift (CVE-2026-2589)

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2589
  • ✅ Soluzione: Aggiorna alla versione 12.8.4

Greenshift (CVE-2026-2593)

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2593
  • ✅ Soluzione: Aggiorna alla versione 12.8.6

Media Library Assistant

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3072
  • ✅ Soluzione: Aggiorna alla versione 3.34

Seraphinite Accelerator (CVE-2026-3058)

  • Installazioni: 60.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-3058
  • ✅ Soluzione: Aggiorna alla versione 2.28.15

Seraphinite Accelerator (CVE-2026-3056)

  • Installazioni: 60.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3056
  • ✅ Soluzione: Aggiorna alla versione 2.28.15

OoohBoi Steroids for Elementor

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3034
  • ✅ Soluzione: Aggiorna alla versione 2.1.25

Gutena Forms

  • Installazioni: 20.000+
  • Vulnerabilità: Settings Change
  • CVE: 2026-1674
  • ✅ Soluzione: Aggiorna alla versione 1.6.1

My Calendar

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2355
  • ✅ Soluzione: Aggiorna alla versione 3.7.4

WP Booking System

  • Installazioni: 20.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2025-68515
  • ✅ Soluzione: Aggiorna alla versione 2.0.19.13

🎨 Temi WordPress

Sono stati identificati 105 temi senza patch e 6 temi con correzioni disponibili. I temi premium come Charety, Keenarch, Lendiz e Nutrie presentano vulnerabilità di tipo Arbitrary File Upload (Critical) e sono stati patchati.

Charety

  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-24960
  • ✅ Soluzione: Aggiorna alla versione 2.0.2

Keenarch

  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-68554
  • ✅ Soluzione: Aggiorna alla versione 2.0.1

Lendiz

  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-68553
  • ✅ Soluzione: Aggiorna alla versione 2.0.1

Nutrie

  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2025-68555
  • ✅ Soluzione: Aggiorna alla versione 2.0.1

Attenzione: Numerosi temi, tra cui Estate (58.132 download), OsTende e molti altri temi premium, presentano vulnerabilità di tipo PHP Object Injection e Local File Inclusion senza patch disponibile.

✅ Raccomandazioni finali

  • Aggiorna immediatamente tutti i plugin elencati nella sezione “Allarme Rosso”
  • Disattiva o sostituisci i plugin nella sezione “Non Patchati”, specialmente Widget Options
  • Verifica la presenza di WooCommerce 10.5.3 anche se la vulnerabilità è di gravità media
  • Controlla i temi in uso: molti temi premium hanno vulnerabilità critiche senza fix
  • Attiva gli aggiornamenti automatici per WordPress Core

⚠️ Ci sono altri 60 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un’analisi completa.