LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 22 Aprile 2026: 187 Vulnerabilità, 29 Plugin Senza Patch

7 min di lettura
admin
Report Sicurezza WordPress – 22 Aprile 2026: 187 Vulnerabilità, 29 Plugin Senza Patch

📊 Panoramica del report

Il report di sicurezza WordPress del 22 aprile 2026 evidenzia una situazione che richiede attenzione immediata: sono state identificate 187 vulnerabilità totali distribuite tra plugin (159 patchati, 28 non patchati) e temi (28 patchati, 1 non patchato).

WordPress 6.9.4 è disponibile e corregge 10 problemi di sicurezza oltre a un bug nel caricamento dei template. L’aggiornamento è fortemente raccomandato per tutti i siti in produzione.

🚨 Allarme rosso

I seguenti plugin con installazioni elevate presentano vulnerabilità critiche o ad alta gravità che richiedono intervento immediato. Verifica se utilizzi questi componenti e aggiorna senza indugio.

Slider by MetaSlider

  • Installazioni: 500.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-39465
  • ✅ Soluzione: Aggiorna alla versione 3.107.0

Riaxe Product Customizer

  • Installazioni: Dato non disponibile
  • Vulnerabilità: SQL Injection
  • CVE: 2026-3599
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Riaxe Product Customizer

  • Installazioni: Dato non disponibile
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3596
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Visa Acceptance Solutions

  • Installazioni: Dato non disponibile
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-3461
  • ❌ Soluzione: NESSUNA PATCH DISPONIBILE

Product Filter for WooCommerce by WBW

  • Installazioni: 60.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-3830
  • ✅ Soluzione: Aggiorna alla versione 3.1.3

LearnPress

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4365
  • ✅ Soluzione: Aggiorna alla versione 4.3.3

Form Maker by 10Web

  • Installazioni: 30.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2025-15441
  • ✅ Soluzione: Aggiorna alla versione 1.15.38

GeoDirectory

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39512
  • ✅ Soluzione: Aggiorna alla versione 2.8.154

WP Photo Album Plus

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-39511
  • ✅ Soluzione: Aggiorna alla versione 9.1.08.002

Barcode Scanner (+Mobile App)

  • Installazioni: 1.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-4880
  • ✅ Soluzione: Aggiorna alla versione 1.12.0

ManageWP Worker

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39463
  • ✅ Soluzione: Aggiorna alla versione 4.9.32

WP Statistics

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5231
  • ✅ Soluzione: Aggiorna alla versione 14.16.5

BackWPup

  • Installazioni: 500.000+
  • Vulnerabilità: Local File Inclusion
  • CVE: 2026-6227
  • ✅ Soluzione: Aggiorna alla versione 5.6.7

Slider by MetaSlider

  • Installazioni: 500.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39467
  • ✅ Soluzione: Aggiorna alla versione 3.107.0

ShortPixel Image Optimizer

  • Installazioni: 300.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39471
  • ✅ Soluzione: Aggiorna alla versione 6.4.4

Unlimited Elements For Elementor

  • Installazioni: 300.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2026-4659
  • ✅ Soluzione: Aggiorna alla versione 2.0.7

PDF Invoices & Packing Slips for WooCommerce

  • Installazioni: 300.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39472
  • ✅ Soluzione: Aggiorna alla versione 5.9.0

CMP – Coming Soon & Maintenance Plugin

  • Installazioni: 200.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-6518
  • ✅ Soluzione: Aggiorna alla versione 4.1.17

Optimole

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5217
  • ✅ Soluzione: Aggiorna alla versione 4.2.3

Post Duplicator

  • Installazioni: 200.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39474
  • ✅ Soluzione: Aggiorna alla versione 3.0.11

Everest Forms

  • Installazioni: 100.000+
  • Vulnerabilità: Directory Traversal
  • CVE: 2026-5478
  • ✅ Soluzione: Aggiorna alla versione 3.4.5

Anti-Malware Security and Brute-Force Firewall

  • Installazioni: 100.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39478
  • ✅ Soluzione: Aggiorna alla versione 4.23.88

Modula Image Gallery

  • Installazioni: 100.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39481
  • ✅ Soluzione: Aggiorna alla versione 2.14.19

Tutor LMS

  • Installazioni: 100.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-6080
  • ✅ Soluzione: Aggiorna alla versione 3.9.9

Customer Reviews for WooCommerce

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3355
  • ✅ Soluzione: Aggiorna alla versione 5.102.0

Jupiter X Core

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-39490
  • ✅ Soluzione: Aggiorna alla versione 4.14.2

Drag and Drop Multiple File Upload for Contact Form 7

  • Installazioni: 60.000+
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-5718
  • ✅ Soluzione: Aggiorna alla versione 1.3.9.7

Payment Gateway for Redsys & WooCommerce Lite

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-40741
  • ✅ Soluzione: Aggiorna alla versione 7.0.1

wpForo Forum

  • Installazioni: 20.000+
  • Vulnerabilità: Directory Traversal
  • CVE: 2026-6248
  • ✅ Soluzione: Aggiorna alla versione 3.0.6

WPZOOM Addons for Elementor

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39597
  • ✅ Soluzione: Aggiorna alla versione 1.3.5

WP Customer Area

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2026-3464
  • ✅ Soluzione: Aggiorna alla versione 8.3.5

Easy Appointments

  • Installazioni: 10.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-2262
  • ✅ Soluzione: Aggiorna alla versione 3.12.22

MasterStudy LMS

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-4817
  • ✅ Soluzione: Aggiorna alla versione 3.7.26

Paid Membership Subscriptions

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39514
  • ✅ Soluzione: Aggiorna alla versione 3.0.0

Royal WordPress Backup

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4305
  • ✅ Soluzione: Aggiorna alla versione 1.0.17

YML for Yandex Market

  • Installazioni: 10.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2025-14545
  • ✅ Soluzione: Aggiorna alla versione 5.0.26

⛔ Plugin non patchati

I seguenti plugin presentano vulnerabilità critiche o ad alta gravità ma non hanno ancora una patch disponibile. Si raccomanda di disattivare immediatamente questi componenti o cercare alternative sicure.

Riaxe Product Customizer

  • Slug: riaxe-product-customizer
  • Vulnerabilità: SQL Injection
  • Gravità: Critical
  • CVE: 2026-3599
  • ⚠️ Patch: Non disponibile

Riaxe Product Customizer

  • Slug: riaxe-product-customizer
  • Vulnerabilità: Broken Access Control
  • Gravità: Critical
  • CVE: 2026-3596
  • ⚠️ Patch: Non disponibile

Visa Acceptance Solutions

  • Slug: visa-acceptance-solutions
  • Vulnerabilità: Privilege Escalation
  • Gravità: Critical
  • CVE: 2026-3461
  • ⚠️ Patch: Non disponibile

WCAPF – Ajax Product Filter for WooCommerce

  • Installazioni: 9.000+
  • Vulnerabilità: SQL Injection
  • Gravità: Critical
  • CVE: 2026-3396
  • ⚠️ Patch: Non disponibile

WCFM Marketplace

  • Installazioni: 10.000+
  • Vulnerabilità: SQL Injection
  • Gravità: High
  • CVE: 2025-63029
  • ⚠️ Patch: Non disponibile

Accept Cryptocurrencies with Plisio

  • Installazioni: 1.000+
  • Vulnerabilità: Broken Access Control
  • Gravità: High
  • CVE: 2026-6372
  • ⚠️ Patch: Non disponibile

Quick Interest Slider

  • Installazioni: 1.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: High
  • CVE: 2026-5694
  • ⚠️ Patch: Non disponibile

Livemesh Addons for Elementor

  • Slug: addons-for-elementor
  • Vulnerabilità: Local File Inclusion
  • Gravità: High
  • CVE: 2026-1620
  • ⚠️ Patch: Non disponibile

Inquiry form to posts or pages

  • Slug: inquiry-form-to-posts-or-pages
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Gravità: High
  • CVE: 2026-6293
  • ⚠️ Patch: Non disponibile

Login as User

  • Slug: one-click-login-as-user
  • Vulnerabilità: Privilege Escalation
  • Gravità: High
  • CVE: 2026-5617
  • ⚠️ Patch: Non disponibile

Accessibility Suite

  • Slug: online-accessibility
  • Vulnerabilità: SQL Injection
  • Gravità: High
  • CVE: 2026-3773
  • ⚠️ Patch: Non disponibile

Accessibly – WordPress Website Accessibility

  • Slug: otm-accessibly
  • Vulnerabilità: Cross Site Scripting (XSS)
  • Gravità: High
  • CVE: 2026-3643
  • ⚠️ Patch: Non disponibile

📋 Altri aggiornamenti importanti

Plugin con più di 10.000 installazioni che presentano vulnerabilità di gravità media e hanno patch disponibili:

Advanced Custom Fields (ACF)

  • Installazioni: 2.000.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4812
  • ✅ Aggiorna a: 6.7.1

Fluent Forms

  • Installazioni: 700.000+
  • Vulnerabilità: Broken Authentication
  • CVE: 2026-4160
  • ✅ Aggiorna a: 6.2.0

Royal Addons for Elementor

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5162
  • ✅ Aggiorna a: 1.7.1057

WP Statistics

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3488
  • ✅ Aggiorna a: 14.16.5

Meta Box

  • Installazioni: 500.000+
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2026-39468
  • ✅ Aggiorna a: 5.11.2

WP Shortcodes Plugin – Shortcodes Ultimate

  • Installazioni: 400.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3885
  • ✅ Aggiorna a: 7.5.0

Page Builder Gutenberg Blocks – CoBlocks

  • Installazioni: 300.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4801
  • ✅ Aggiorna a: 3.1.17

JetBackup

  • Installazioni: 100.000+
  • Vulnerabilità: Path Traversal
  • CVE: 2026-4853
  • ✅ Aggiorna a: 3.1.20.3

Kubio AI Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-5427
  • ✅ Aggiorna a: 2.7.3

LatePoint

  • Installazioni: 100.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-5234
  • ✅ Aggiorna a: 5.4.0

Tutor LMS

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-40743
  • ✅ Aggiorna a: 3.9.8

ProfilePress

  • Installazioni: 100.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4949
  • ✅ Aggiorna a: 4.16.13

Download Monitor

  • Installazioni: 90.000+
  • Vulnerabilità: Arbitrary File Download
  • CVE: 2026-39489
  • ✅ Aggiorna a: 5.1.10

Email Encoder

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2024-7083
  • ✅ Aggiorna a: 2.3.4

ShopLentor

  • Installazioni: 90.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4059
  • ✅ Aggiorna a: 3.3.6

Customer Reviews for WooCommerce

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Authentication
  • CVE: 2026-4664
  • ✅ Aggiorna a: 5.104.0

3D FlipBook

  • Installazioni: 80.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-1314
  • ✅ Aggiorna a: 1.16.18

Jupiter X Core

  • Installazioni: 80.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39491
  • ✅ Aggiorna a: 4.14.2

Germanized for WooCommerce

  • Installazioni: 70.000+
  • Vulnerabilità: Content Injection
  • CVE: 2026-2582
  • ✅ Aggiorna a: 3.20.6

wpDataTables

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5721
  • ✅ Aggiorna a: 6.5.0.5

Contextual Related Posts

  • Installazioni: 60.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2986
  • ✅ Aggiorna a: 4.2.2

User Registration & Membership

  • Installazioni: 60.000+
  • Vulnerabilità: Open Redirection
  • CVE: 2026-6203
  • ✅ Aggiorna a: 5.1.5

WP Maps

  • Installazioni: 60.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13364
  • ✅ Aggiorna a: 4.8.8

Advanced Product Fields for WooCommerce

  • Installazioni: 50.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39499
  • ✅ Aggiorna a: 1.6.20

Categories Images

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2505
  • ✅ Aggiorna a: 3.3.2

Better Find and Replace

  • Installazioni: 50.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3369
  • ✅ Aggiorna a: 1.8.0

YayMail

  • Installazioni: 50.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-39498
  • ✅ Aggiorna a: 4.3.4

BetterDocs

  • Installazioni: 40.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3875
  • ✅ Aggiorna a: 4.3.9

Quiz and Survey Master (QSM)

  • Installazioni: 40.000+
  • Vulnerabilità: Content Injection
  • CVE: 2026-5797
  • ✅ Aggiorna a: 11.1.1

PostX

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-0718
  • ✅ Aggiorna a: 5.0.6

Form Maker by 10Web

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4388
  • ✅ Aggiorna a: 1.15.41

Website LLMs.txt

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-6712
  • ✅ Aggiorna a: 8.2.7

WP YouTube Lyte

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-3299
  • ✅ Aggiorna a: 1.7.30

Social Slider Feed

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-39507
  • ✅ Aggiorna a: 2.3.3

Smart Post Show

  • Installazioni: 20.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-3017
  • ✅ Aggiorna a: 3.0.13

UsersWP

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-5742
  • ✅ Aggiorna a: 1.2.61

wpForo Forum

  • Installazioni: 20.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4666
  • ✅ Aggiorna a: 3.0.0

Content Blocks

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0894
  • ✅ Aggiorna a: 3.4.1

EMC – Easily Embed Calendly Scheduling

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0868
  • ✅ Aggiorna a: 4.5

Eventin

  • Installazioni: 10.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4109
  • ✅ Aggiorna a: 4.1.9

🔐 Vulnerabilità nei temi WordPress

Anche i temi WordPress hanno mostrato vulnerabilità significative. Particolare attenzione ai seguenti temi con patch critiche:

Charity Zone

  • Download: 112.126
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-40749
  • ✅ Aggiorna a: 1.1.2

Ecommerce Zone

  • Download: 89.443
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-40747
  • ✅ Aggiorna a: 0.9.8

Restaurant Zone

  • Download: 80.108
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-40746
  • ✅ Aggiorna a: 0.7.9

Kids Online Store

  • Download: 53.065
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-40750
  • ✅ Aggiorna a: 0.9.0

WebStack

  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-1555
  • ⚠️ Patch: Non disponibile

🛡️ Raccomandazioni

  • Aggiorna immediatamente WordPress Core alla versione 6.9.4
  • Verifica i plugin installati confrontandoli con l’elenco delle vulnerabilità
  • Disattiva temporaneamente i plugin senza patch disponibili
  • Implementa un plugin di sicurezza per monitoraggio continuo
  • Effettua backup regolari prima di qualsiasi aggiornamento
  • Testa gli aggiornamenti in ambiente di staging quando possibile
  • Monitora i log di accesso per individuare tentativi di exploit

⚠️ Ci sono altri 120+ plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito.

📌 Conclusioni

Il report del 22 aprile 2026 evidenzia l’importanza critica della manutenzione continua dei siti WordPress. Con 29 componenti ancora privi di patch e numerose vulnerabilità critiche, la superficie di attacco rimane significativa. Gli amministratori devono dare priorità assoluta agli aggiornamenti, specialmente per i plugin con installazioni elevate e vulnerabilità di tipo SQL Injection, RCE e Privilege Escalation.

La sicurezza WordPress richiede un approccio proattivo: non attendere che una vulnerabilità venga sfruttata. Aggiorna ora e monitora costantemente il tuo ecosistema di plugin e temi.