LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 15 Aprile 2026: 145 Plugin Vulnerabili, 16 Senza Patch

8 min di lettura
admin
Report Sicurezza WordPress – 15 Aprile 2026: 145 Plugin Vulnerabili, 16 Senza Patch

📊 Panoramica settimanale

Il report di sicurezza WordPress del 15 aprile 2026 evidenzia un totale di 145 plugin con patch rilasciate e 16 plugin ancora vulnerabili senza correzioni disponibili. Inoltre, sono state risolte vulnerabilità in 24 temi WordPress.

WordPress 6.9.4 è disponibile e risolve 10 problemi di sicurezza oltre a un bug nel caricamento dei template. L’aggiornamento immediato è fortemente raccomandato per tutti i siti in produzione.

🚨 Allarme rosso

Questi plugin ad alto rischio hanno più di 10.000 installazioni attive e presentano vulnerabilità critiche o di gravità elevata. Azione immediata richiesta.

Everest Forms

  • Installazioni: 100.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-3296
  • ✅ Soluzione: Aggiorna alla versione 3.4.4

Simply Schedule Appointments

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39493
  • ✅ Soluzione: Aggiorna alla versione 1.6.9.29

Product Filter for WooCommerce by WBW

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39494
  • ✅ Soluzione: Aggiorna alla versione 3.1.3

WP Maps

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39492
  • ✅ Soluzione: Aggiorna alla versione 4.9.2

Form Maker by 10Web

  • Installazioni: 30.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39502
  • ✅ Soluzione: Aggiorna alla versione 1.15.39

GeoDirectory

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39512
  • ✅ Soluzione: Aggiorna alla versione 2.8.154

ManageWP Worker

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39463
  • ✅ Soluzione: Aggiorna alla versione 4.9.32

Kadence Blocks

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2826
  • ✅ Soluzione: Aggiorna alla versione 3.6.4

BackWPup

  • Installazioni: 500.000+
  • Vulnerabilità: Local File Inclusion
  • CVE: 2026-6227
  • ✅ Soluzione: Aggiorna alla versione 5.6.7

Cart Abandonment Recovery for WooCommerce

  • Installazioni: 300.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-39470
  • ✅ Soluzione: Aggiorna alla versione 2.1.0

MW WP Form

  • Installazioni: 200.000+
  • Vulnerabilità: Directory Traversal
  • CVE: 2026-5436
  • ✅ Soluzione: Aggiorna alla versione 5.1.2

Optimole

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5217, 2026-5226
  • ✅ Soluzione: Aggiorna alla versione 4.2.4

Post Duplicator

  • Installazioni: 200.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39474
  • ✅ Soluzione: Aggiorna alla versione 3.0.11

Tutor LMS

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3360
  • ✅ Soluzione: Aggiorna alla versione 3.9.8

Booking for Appointments and Events Calendar – Amelia

  • Installazioni: 90.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-5465
  • ✅ Soluzione: Aggiorna alla versione 2.2

BackupBliss

  • Installazioni: 90.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-39480
  • ✅ Soluzione: Aggiorna alla versione 2.1.2

Product Feed PRO for WooCommerce

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-3499
  • ✅ Soluzione: Aggiorna alla versione 13.5.2.2

Media Library Assistant

  • Installazioni: 70.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-34885
  • ✅ Soluzione: Aggiorna alla versione 3.35

Product Feed Manager for WooCommerce – CTX Feed

  • Installazioni: 70.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39434
  • ✅ Soluzione: Aggiorna alla versione 6.6.27

User Registration

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-1865
  • ✅ Soluzione: Aggiorna alla versione 5.1.3

Popup Box – AYS

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-15611
  • ✅ Soluzione: Aggiorna alla versione 5.5.0

Smart Post Show

  • Installazioni: 20.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-3017
  • ✅ Soluzione: Aggiorna alla versione 3.0.13

Simple Social Media Share Buttons

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-34904
  • ✅ Soluzione: Aggiorna alla versione 6.2.1

wpForo Forum

  • Installazioni: 20.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2026-5809, 2026-3666
  • ✅ Soluzione: Aggiorna alla versione 3.0.3

Easy Appointments

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-39513
  • ✅ Soluzione: Aggiorna alla versione 3.12.22

Royal WordPress Backup

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4305
  • ✅ Soluzione: Aggiorna alla versione 1.0.17

Widgets for Social Photo Feed

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5425
  • ✅ Soluzione: Aggiorna alla versione 1.8.0

Under Construction, Coming Soon & Maintenance Mode

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-34896
  • ✅ Soluzione: Aggiorna alla versione 2.1.2

Product Table and List Builder for WooCommerce Lite

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34902
  • ✅ Soluzione: Aggiorna alla versione 4.6.4

YML for Yandex Market

  • Installazioni: 10.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-14545
  • ✅ Soluzione: Aggiorna alla versione 5.0.26

Visitor Traffic Real Time Statistics

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2936
  • ✅ Soluzione: Aggiorna alla versione 8.5

⛔ Plugin non patchati

I seguenti plugin presentano vulnerabilità senza patch disponibile. Se li utilizzi, considera di disattivarli immediatamente o trovare alternative sicure.

DSGVO Google Web Fonts GDPR

  • Vulnerabilità: Arbitrary File Upload
  • Gravità: Critical
  • CVE: 2026-3535
  • ❌ Nessuna patch disponibile

Attendance Manager

  • Vulnerabilità: SQL Injection
  • Gravità: High
  • CVE: 2026-3781
  • ❌ Nessuna patch disponibile

Gerador de Certificados – DevApps

  • Vulnerabilità: Arbitrary File Upload
  • Gravità: High
  • CVE: 2026-4808
  • ❌ Nessuna patch disponibile

IDPay Payment Gateway for Woocommerce

  • Vulnerabilità: Sensitive Data Exposure
  • Gravità: High
  • CVE: 2026-34891
  • ❌ Nessuna patch disponibile

AM LottiePlayer

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2025-1794
  • ❌ Nessuna patch disponibile

Columns by BestWebSoft

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-3618
  • ❌ Nessuna patch disponibile

Inquiry form to posts or pages

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-5169
  • ❌ Nessuna patch disponibile

Pinterest Site Verification

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-3142
  • ❌ Nessuna patch disponibile

pz-frontend-manager

  • Vulnerabilità: Broken Access Control
  • Gravità: Medium
  • CVE: 2026-3477
  • ❌ Nessuna patch disponibile

Quran Translations

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Gravità: Medium
  • CVE: 2026-4141
  • ❌ Nessuna patch disponibile

Riaxe Product Customizer

  • Vulnerabilità: Sensitive Data Exposure
  • Gravità: Medium
  • CVE: 2026-3594
  • ❌ Nessuna patch disponibile

Sports Club Management

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-4871
  • ❌ Nessuna patch disponibile

Wavr

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-5506
  • ❌ Nessuna patch disponibile

Whole Enquiry Cart for WooCommerce

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-2838
  • ❌ Nessuna patch disponibile

WowPress

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: Medium
  • CVE: 2026-5508
  • ❌ Nessuna patch disponibile

WP Blockade

  • Vulnerabilità: Broken Access Control
  • Gravità: Medium
  • CVE: 2026-3480
  • ❌ Nessuna patch disponibile

📋 Altri aggiornamenti importanti

Plugin con più di 10.000 installazioni e vulnerabilità di gravità media che richiedono aggiornamento:

Elementor Website Builder

  • Installazioni: 10.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-14732
  • ✅ Soluzione: Aggiorna alla versione 3.35.6

WP-Optimize

  • Installazioni: 1.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2712
  • ✅ Soluzione: Aggiorna alla versione 4.5.1

Smart Slider 3

  • Installazioni: 800.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4065
  • ✅ Soluzione: Aggiorna alla versione 3.5.1.34

Meta Box

  • Installazioni: 500.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2026-39468
  • ✅ Soluzione: Aggiorna alla versione 5.11.2

Ocean Extra

  • Installazioni: 500.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-34903
  • ✅ Soluzione: Aggiorna alla versione 2.5.4

YITH WooCommerce Wishlist

  • Installazioni: 500.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-4432
  • ✅ Soluzione: Aggiorna alla versione 4.13.0

Pagelayer

  • Installazioni: 400.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2509
  • ✅ Soluzione: Aggiorna alla versione 2.0.9

Ultimate Member

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-15064
  • ✅ Soluzione: Aggiorna alla versione 2.11.2

Aruba HiSpeed Cache

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-1924
  • ✅ Soluzione: Aggiorna alla versione 3.0.5

Element Pack – Widgets for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4655
  • ✅ Soluzione: Aggiorna alla versione 8.5.0

Prime Slider – Addons for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4341
  • ✅ Soluzione: Aggiorna alla versione 4.1.11

Beaver Builder Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2481
  • ✅ Soluzione: Aggiorna alla versione 2.10.1.2

Download Manager

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control / XSS
  • CVE: 2026-4057, 2026-5357
  • ✅ Soluzione: Aggiorna alla versione 3.3.53

LatePoint

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4785
  • ✅ Soluzione: Aggiorna alla versione 5.3.1

MainWP Child Reports

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4299
  • ✅ Soluzione: Aggiorna alla versione 2.3

The Plus Addons for Elementor

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3311
  • ✅ Soluzione: Aggiorna alla versione 6.4.10

Tutor LMS

  • Installazioni: 100.000+
  • Vulnerabilità: IDOR / Broken Access Control
  • CVE: 2026-3371, 2026-3358
  • ✅ Soluzione: Aggiorna alla versione 3.9.8

ProfilePress

  • Installazioni: 100.000+
  • Vulnerabilità: Content Injection
  • CVE: 2026-3309
  • ✅ Soluzione: Aggiorna alla versione 4.16.12

BackupBliss

  • Installazioni: 90.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2025-14944
  • ✅ Soluzione: Aggiorna alla versione 2.1.0

Download Monitor

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-4401
  • ✅ Soluzione: Aggiorna alla versione 5.1.11

Strong Testimonials

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3239
  • ✅ Soluzione: Aggiorna alla versione 3.2.22

ShopLentor

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4059
  • ✅ Soluzione: Aggiorna alla versione 3.3.6

Hustle

  • Installazioni: 90.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2263
  • ✅ Soluzione: Aggiorna alla versione 7.8.11

Customer Reviews for WooCommerce

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Authentication
  • CVE: 2026-4664
  • ✅ Soluzione: Aggiorna alla versione 5.104.0

Jupiter X Core

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39491
  • ✅ Soluzione: Aggiorna alla versione 4.14.2

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4333
  • ✅ Soluzione: Aggiorna alla versione 4.3.4

List category posts

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3005
  • ✅ Soluzione: Aggiorna alla versione 0.95.0

Advanced Contact form 7 DB

  • Installazioni: 70.000+
  • Vulnerabilità: CSRF / Broken Access Control
  • CVE: 2026-0811, 2026-0814
  • ✅ Soluzione: Aggiorna alla versione 2.1.0

Bookly

  • Installazioni: 70.000+
  • Vulnerabilità: Content Injection
  • CVE: 2026-2519
  • ✅ Soluzione: Aggiorna alla versione 27.1

Greenshift

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4895
  • ✅ Soluzione: Aggiorna alla versione 12.9.0

Media Library Assistant

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34897
  • ✅ Soluzione: Aggiorna alla versione 3.35

User Registration

  • Installazioni: 60.000+
  • Vulnerabilità: Open Redirection
  • CVE: 2026-6203
  • ✅ Soluzione: Aggiorna alla versione 5.1.5

Blog2Social

  • Installazioni: 50.000+
  • Vulnerabilità: Broken Authentication
  • CVE: 2026-4330
  • ✅ Soluzione: Aggiorna alla versione 8.8.4

Robo Gallery

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4300
  • ✅ Soluzione: Aggiorna alla versione 5.1.4

BEAR – Bulk Editor for WooCommerce

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-1673, 2026-1672
  • ✅ Soluzione: Aggiorna alla versione 1.1.6

LightPress Lightbox

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4379
  • ✅ Soluzione: Aggiorna alla versione 2.3.5

Link Whisper Free

  • Installazioni: 30.000+
  • Vulnerabilità: Settings Change
  • CVE: 2026-1900
  • ✅ Soluzione: Aggiorna alla versione 0.9.1

PowerPress Podcasting

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2988
  • ✅ Soluzione: Aggiorna alla versione 11.15.16

Ultimate FAQ Accordion Plugin

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4336
  • ✅ Soluzione: Aggiorna alla versione 2.4.8

AddFunc Head & Footer Code

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2305
  • ✅ Soluzione: Aggiorna alla versione 2.4

UsersWP

  • Installazioni: 20.000+
  • Vulnerabilità: SSRF / Broken Access Control / XSS
  • CVE: 2026-4979, 2026-4977, 2026-5742
  • ✅ Soluzione: Aggiorna alla versione 1.2.61

WP Visitor Statistics

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4303
  • ✅ Soluzione: Aggiorna alla versione 8.5

BlockArt Blocks

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3498
  • ✅ Soluzione: Aggiorna alla versione 2.3.0

Charitable

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3177
  • ✅ Soluzione: Aggiorna alla versione 1.8.10

LifterLMS

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-5207
  • ✅ Soluzione: Aggiorna alla versione 9.2.2

OSM – OpenStreetMap

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4429
  • ✅ Soluzione: Aggiorna alla versione 6.1.16

Eventin

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4109
  • ✅ Soluzione: Aggiorna alla versione 4.1.9

🎨 Vulnerabilità nei temi WordPress

Sono state risolte vulnerabilità in 24 temi WordPress, principalmente riguardanti PHP Object Injection e Local File Inclusion. Tutti i temi coinvolti hanno ricevuto patch di sicurezza. Tra i temi aggiornati:

  • Alloggio (2.1.3) – PHP Object Injection
  • Solene (3.4.1) – Local File Inclusion
  • Malmö (2.3) – Local File Inclusion
  • Zermatt (1.7) – PHP Object Injection
  • Altri 20 temi con vulnerabilità simili

✅ Raccomandazioni finali

  1. Aggiorna WordPress Core immediatamente alla versione 6.9.4
  2. Aggiorna tutti i plugin vulnerabili, in particolare quelli con gravità Critical e High
  3. Disattiva o sostituisci i 16 plugin senza patch disponibile
  4. Esegui un backup completo prima di qualsiasi aggiornamento
  5. Testa le funzionalità dopo gli aggiornamenti in ambiente di staging
  6. Monitora regolarmente i bollettini di sicurezza WordPress

⚠️ Ci sono altri 104 plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per verificare se utilizzi uno di questi plugin.