Report Sicurezza WordPress – 25 Febbraio 2026: 49 Vulnerabilità Senza Patch

📊 Panoramica della settimana

Il report di sicurezza del 25 febbraio 2026 evidenzia una situazione preoccupante: su 205 vulnerabilità totali rilevate nei plugin WordPress, 49 rimangono completamente senza patch. Particolarmente critica la situazione per alcuni plugin con installazioni elevate che presentano vulnerabilità di tipo SQL Injection, Remote Code Execution e Privilege Escalation.

WordPress Core: Nessuna nuova vulnerabilità segnalata. WordPress 7.0 è attualmente in fase Beta 1 (rilascio previsto 9 aprile 2026).

🚨 Allarme rosso: vulnerabilità critiche e ad alta gravità

I seguenti plugin con oltre 10.000 installazioni attive presentano vulnerabilità critiche o ad alta gravità. Azione immediata richiesta.

Shield security

Installazioni: 40.000+
Vulnerabilità: SQL Injection
CVE: 2026-0722
✅ Soluzione: Aggiorna alla versione 21.0.10

wpForo forum

Installazioni: 20.000+
Vulnerabilità: SQL Injection
CVE: 2026-1581
❌ Soluzione: NESSUNA PATCH DISPONIBILE

Business directory plugin

Installazioni: 10.000+
Vulnerabilità: SQL Injection
CVE: 2026-2576
❌ Soluzione: NESSUNA PATCH DISPONIBILE

Product table and list builder for WooCommerce lite

Installazioni: 10.000+
Vulnerabilità: SQL Injection
CVE: 2026-2232
❌ Soluzione: NESSUNA PATCH DISPONIBILE

s2Member

Installazioni: 9.000+
Vulnerabilità: Privilege Escalation
CVE: 2026-1994
✅ Soluzione: Aggiorna alla versione 260215

BackWPup

Installazioni: 500.000+
Vulnerabilità: Broken Access Control
CVE: 2025-15041
✅ Soluzione: Aggiorna alla versione 5.6.3

PixelYourSite

Installazioni: 500.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-27072
✅ Soluzione: Aggiorna alla versione 11.2.0.2

Converter for media

Installazioni: 500.000+
Vulnerabilità: Server Side Request Forgery (SSRF)
CVE: 2026-1356
✅ Soluzione: Aggiorna alla versione 6.5.2

Ultimate member

Installazioni: 200.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1404
✅ Soluzione: Aggiorna alla versione 2.11.2

Aruba HiSpeed cache

Installazioni: 100.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-11706
✅ Soluzione: Aggiorna alla versione 3.0.3

Backup migration

Installazioni: 100.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2023-7002
✅ Soluzione: Aggiorna alla versione 1.4.0

Download manager

Installazioni: 100.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1666
✅ Soluzione: Aggiorna alla versione 3.3.47

Product feed manager for WooCommerce

Installazioni: 70.000+
Vulnerabilità: Broken Access Control
CVE: 2025-12975
✅ Soluzione: Aggiorna alla versione 6.6.12

WP maps

Installazioni: 60.000+
Vulnerabilità: Local File Inclusion
CVE: 2025-12062
✅ Soluzione: Aggiorna alla versione 4.8.7

Zarinpal gateway

Installazioni: 60.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2592
✅ Soluzione: Aggiorna alla versione 5.0.17

Advanced AJAX product filters

Installazioni: 50.000+
Vulnerabilità: PHP Object Injection
CVE: 2026-1426
✅ Soluzione: Aggiorna alla versione 3.1.9.7

Super page cache

Installazioni: 50.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1843
✅ Soluzione: Aggiorna alla versione 5.2.3

RSS aggregator

Installazioni: 50.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1216
✅ Soluzione: Aggiorna alla versione 5.0.11

YayMail

Installazioni: 50.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1937
✅ Soluzione: Aggiorna alla versione 4.3.3

Checkout field manager for WooCommerce

Installazioni: 90.000+
Vulnerabilità: Arbitrary Content Deletion
CVE: 2025-13930
✅ Soluzione: Aggiorna alla versione 7.8.6

ShopLentor

Installazioni: 90.000+
Vulnerabilità: Content Injection
CVE: 2026-1714
✅ Soluzione: Aggiorna alla versione 3.3.3

Customer reviews for WooCommerce

Installazioni: 80.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1316
✅ Soluzione: Aggiorna alla versione 5.98.0

Product addons for WooCommerce

Installazioni: 30.000+
Vulnerabilità: Arbitrary Code Execution
CVE: 2026-2296
✅ Soluzione: Aggiorna alla versione 3.1.1

Jetpack CRM

Installazioni: 30.000+
Vulnerabilità: Local File Inclusion
CVE: 2026-22356
✅ Soluzione: Aggiorna alla versione 6.7.1

Video conferencing with Zoom

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1368
✅ Soluzione: Aggiorna alla versione 4.6.6

WP customer reviews

Installazioni: 20.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-14452
✅ Soluzione: Aggiorna alla versione 3.7.6

WP import

Installazioni: 20.000+
Vulnerabilità: SQL Injection
CVE: 2026-1317
✅ Soluzione: Aggiorna alla versione 7.38

Secure copy content protection

Installazioni: 20.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1320
✅ Soluzione: Aggiorna alla versione 4.9.9

wpForo forum

Installazioni: 20.000+
Vulnerabilità: PHP Object Injection
CVE: 2026-0910
✅ Soluzione: Aggiorna alla versione 2.4.14

Cookie banner for GDPR / CCPA

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2025-11754
✅ Soluzione: Aggiorna alla versione 4.1.3

Tablesome table

Installazioni: 9.000+
Vulnerabilità: Privilege Escalation
CVE: 2025-12845
✅ Soluzione: Aggiorna alla versione 1.2.2

⛔ Plugin critici senza patch disponibile

Questi plugin presentano vulnerabilità critiche o ad alta gravità ma non hanno ancora rilasciato una correzione. Se li utilizzi, considera di disattivarli temporaneamente o cercare alternative.

wpForo forum

Installazioni: 20.000+
Vulnerabilità: SQL Injection
CVE: 2026-1581
⚠️ Stato: Nessuna patch disponibile

Business directory plugin

Installazioni: 10.000+
Vulnerabilità: SQL Injection
CVE: 2026-2576
⚠️ Stato: Nessuna patch disponibile

Product table and list builder for WooCommerce lite

Installazioni: 10.000+
Vulnerabilità: SQL Injection
CVE: 2026-2232
⚠️ Stato: Nessuna patch disponibile

Link Whisper free

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-22357
⚠️ Stato: Nessuna patch disponibile

Wholesale suite

Installazioni: 20.000+
Vulnerabilità: Privilege Escalation
CVE: 2026-27541
⚠️ Stato: Nessuna patch disponibile

Banner management for WooCommerce

Installazioni: 2.000+
Vulnerabilità: PHP Object Injection
CVE: 2026-22354
⚠️ Stato: Nessuna patch disponibile

Prodigy commerce

Installazioni: 100+
Vulnerabilità: Local File Inclusion
CVE: 2026-0926
⚠️ Stato: Nessuna patch disponibile

📋 Altri aggiornamenti importanti (gravità media)

Plugin con oltre 10.000 installazioni che presentano vulnerabilità di gravità media. Sebbene meno critiche, queste vulnerabilità dovrebbero comunque essere corrette al più presto.

Complianz

Installazioni: 1.000.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-11185
✅ Soluzione: Aggiorna alla versione 7.4.4

Image optimizer

Installazioni: 1.000.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25387
✅ Soluzione: Aggiorna alla versione 1.7.2

Breadcrumb NavXT

Installazioni: 800.000+
Vulnerabilità: Broken Access Control
CVE: 2025-13842
✅ Soluzione: Aggiorna alla versione 7.5.1

Easy table of contents

Installazioni: 600.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-13738
✅ Soluzione: Aggiorna alla versione 2.0.79

Fluent forms

Installazioni: 600.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2024-6703
✅ Soluzione: Aggiorna alla versione 5.1.20

Forminator forms

Installazioni: 600.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-2002
✅ Soluzione: Aggiorna alla versione 1.50.3

Kadence blocks

Installazioni: 600.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2633
✅ Soluzione: Aggiorna alla versione 3.6.2

SiteGuard WP plugin

Installazioni: 500.000+
Vulnerabilità: Bypass Vulnerability
CVE: 2026-27411
❌ Soluzione: Nessuna patch disponibile

Ally – Web accessibility

Installazioni: 400.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25386
✅ Soluzione: Aggiorna alla versione 4.0.3

SiteOrigin widgets bundle

Installazioni: 400.000+
Vulnerabilità: Content Injection
CVE: 2026-2127
✅ Soluzione: Aggiorna alla versione 1.71.0

Formidable forms

Installazioni: 300.000+
Vulnerabilità: Content Injection
CVE: 2023-6830
✅ Soluzione: Aggiorna alla versione 6.7.1

PDF invoices & packing slips for WooCommerce

Installazioni: 300.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1906
✅ Soluzione: Aggiorna alla versione 5.7.0

Popup builder

Installazioni: 200.000+
Vulnerabilità: Broken Access Control
CVE: 2025-13079
✅ Soluzione: Aggiorna alla versione 4.4.3

Advanced ads

Installazioni: 100.000+
Vulnerabilità: Broken Access Control
CVE: 2025-12884
✅ Soluzione: Aggiorna alla versione 2.0.15

Advanced custom fields: Font Awesome field

Installazioni: 100.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-14983
✅ Soluzione: Aggiorna alla versione 5.0.2

Aruba HiSpeed cache

Installazioni: 100.000+
Vulnerabilità: Broken Access Control
CVE: 2025-11725
✅ Soluzione: Aggiorna alla versione 3.0.3

Brevo

Installazioni: 100.000+
Vulnerabilità: Broken Access Control
CVE: 2025-14799
✅ Soluzione: Aggiorna alla versione 3.3.1

The Plus addons for Elementor

Installazioni: 100.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2386
✅ Soluzione: Aggiorna alla versione 6.4.8

VK All in One expansion unit

Installazioni: 100.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-11737
✅ Soluzione: Aggiorna alla versione 9.112.4

Razorpay for WooCommerce

Installazioni: 90.000+
Vulnerabilità: Broken Access Control
CVE: 2025-14294
✅ Soluzione: Aggiorna alla versione 4.7.9

Checkout field manager for WooCommerce

Installazioni: 90.000+
Vulnerabilità: Arbitrary File Upload
CVE: 2025-12500
✅ Soluzione: Aggiorna alla versione 7.8.2

StatCounter

Installazioni: 70.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-13048
✅ Soluzione: Aggiorna alla versione 2.1.1

Mailchimp list subscribe form

Installazioni: 60.000+
Vulnerabilità: Cross Site Request Forgery (CSRF)
CVE: 2025-12172
✅ Soluzione: Aggiorna alla versione 2.0.1

Mesmerize companion

Installazioni: 60.000+
Vulnerabilità: Broken Access Control
CVE: 2025-12027
✅ Soluzione: Aggiorna alla versione 1.6.162

ACF Photo gallery field

Installazioni: 60.000+
Vulnerabilità: Broken Access Control
CVE: 2025-12081
✅ Soluzione: Aggiorna alla versione 3.1

Auto featured image

Installazioni: 50.000+
Vulnerabilità: Server Side Request Forgery (SSRF)
CVE: 2023-7073
✅ Soluzione: Aggiorna alla versione 4.2.0

Blog2Social

Installazioni: 50.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1942
✅ Soluzione: Aggiorna alla versione 8.7.5

Booking calendar

Installazioni: 50.000+
Vulnerabilità: Insecure Direct Object References (IDOR)
CVE: 2026-2230
✅ Soluzione: Aggiorna alla versione 10.14.15

Printful integration for WooCommerce

Installazioni: 50.000+
Vulnerabilità: Server Side Request Forgery (SSRF)
CVE: 2025-12375
✅ Soluzione: Aggiorna alla versione 2.2.12

WP-Members membership plugin

Installazioni: 50.000+
Vulnerabilità: Broken Access Control
CVE: 2023-6733
✅ Soluzione: Aggiorna alla versione 3.4.9

Calculated fields form

Installazioni: 40.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25368
✅ Soluzione: Aggiorna alla versione 5.4.4.2

Easy SVG support

Installazioni: 40.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-12451
✅ Soluzione: Aggiorna alla versione 4.1

Simple membership

Installazioni: 40.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1461
✅ Soluzione: Aggiorna alla versione 4.7.1

Shield security

Installazioni: 40.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-0561
✅ Soluzione: Aggiorna alla versione 21.0.10

Shield security

Installazioni: 40.000+
Vulnerabilità: Broken Access Control
CVE: 2025-14427
✅ Soluzione: Aggiorna alla versione 21.0.10

Image hotspot by DevVN

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-14445
✅ Soluzione: Aggiorna alla versione 1.3.0

Easy social feed

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2023-6883
✅ Soluzione: Aggiorna alla versione 6.5.3

Master addons for Elementor

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-2486
✅ Soluzione: Aggiorna alla versione 2.1.2

SEO plugin by Squirrly SEO

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2025-14342
✅ Soluzione: Aggiorna alla versione 12.4.15

WP 404 auto redirect to similar post

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-12037
✅ Soluzione: Aggiorna alla versione 1.0.6

Apollo13 framework extensions

Installazioni: 20.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-13617
✅ Soluzione: Aggiorna alla versione 1.9.9

Image Photo gallery final tiles grid

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25375
✅ Soluzione: Aggiorna alla versione 3.6.11

Kali forms

Installazioni: 20.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2026-1860
✅ Soluzione: Aggiorna alla versione 2.4.9

MP3 Audio player

Installazioni: 20.000+
Vulnerabilità: Insecure Direct Object References (IDOR)
CVE: 2026-1219
✅ Soluzione: Aggiorna alla versione 5.11

Quiz maker

Installazioni: 20.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-2384
✅ Soluzione: Aggiorna alla versione 6.7.1.8

Smartsupp

Installazioni: 20.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-12448
✅ Soluzione: Aggiorna alla versione 3.9.2

Web accessibility by accessiBe

Installazioni: 10.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2025-13113
✅ Soluzione: Aggiorna alla versione 2.12

Business directory plugin

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1656
✅ Soluzione: Aggiorna alla versione 6.4.21

Classified listing

Installazioni: 10.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2026-23546
✅ Soluzione: Aggiorna alla versione 5.3.5

Groups

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-0549
✅ Soluzione: Aggiorna alla versione 3.11.0

Open user map

Installazioni: 10.000+
Vulnerabilità: Arbitrary File Download
CVE: 2025-68002
✅ Soluzione: Aggiorna alla versione 1.4.17

Membership plugin – Restrict content

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1304
✅ Soluzione: Aggiorna alla versione 3.2.19

Two factor (2FA) authentication via email

Installazioni: 10.000+
Vulnerabilità: Broken Authentication
CVE: 2025-13587
✅ Soluzione: Aggiorna alla versione 1.9.9

URL Shortify

Installazioni: 10.000+
Vulnerabilità: Open Redirection
CVE: 2026-1277
✅ Soluzione: Aggiorna alla versione 1.12.2

URL Shortify

Installazioni: 10.000+
Vulnerabilità: Server Side Request Forgery (SSRF)
CVE: 2026-25385
✅ Soluzione: Aggiorna alla versione 1.12.4

User submitted posts

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2126
✅ Soluzione: Aggiorna alla versione 20260217

WP Compress

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25370
✅ Soluzione: Aggiorna alla versione 6.60.29

YaMaps for WordPress plugin

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2025-14851
✅ Soluzione: Aggiorna alla versione 0.6.41

🎨 Vulnerabilità nei temi WordPress

Questa settimana sono state identificate 39 vulnerabilità nei temi WordPress, di cui 31 senza patch disponibile. Particolarmente preoccupanti sono le vulnerabilità di tipo Local File Inclusion e PHP Object Injection presenti in diversi temi premium.

Temi con patch disponibile

Context Blog (84.000+ download) – Sensitive Data Exposure – Aggiorna alla versione 1.2.6
Shopire (89.000+ download) – Broken Access Control – Aggiorna alla versione 1.0.58
Spa and Salon (165.000+ download) – Broken Access Control – Aggiorna alla versione 1.3.3
Grand Restaurant – PHP Object Injection (Critical) – Aggiorna alla versione 7.0.11
Ippsum – PHP Object Injection (Critical) – Aggiorna alla versione 1.2.1
CitiLights – Broken Access Control – Aggiorna alla versione 3.7.2
Sweet Date – PHP Object Injection (Critical) – Aggiorna alla versione 4.0.1
Wiguard – Arbitrary File Upload (Critical) – Aggiorna alla versione 2.0.1

Temi critici senza patch

I seguenti temi presentano vulnerabilità critiche senza correzioni disponibili:

Buyent – Privilege Escalation (Critical)
Dentario – PHP Object Injection (Critical)
Kingler – PHP Object Injection (Critical)
Tennis Club – PHP Object Injection (Critical)
Valenti – PHP Object Injection (High)

Numerosi altri temi presentano vulnerabilità di tipo Local File Inclusion ad alta gravità, tra cui A-Mart, Blabber, Coworking, Fooddy, Gustavo e altri.

✅ Raccomandazioni immediate

Aggiorna immediatamente tutti i plugin e temi che hanno patch disponibili, dando priorità a quelli con vulnerabilità critiche o ad alta gravità
Disattiva temporaneamente i plugin critici senza patch disponibile (wpForo Forum, Business Directory Plugin, Product Table for WooCommerce) fino al rilascio di una correzione
Considera alternative per i plugin che rimangono vulnerabili da tempo senza ricevere aggiornamenti di sicurezza
Implementa un WAF (Web Application Firewall) per proteggere il sito dalle vulnerabilità note
Monitora regolarmente la dashboard di sicurezza del tuo WordPress e abilita gli aggiornamenti automatici per i plugin critici
Esegui backup completi prima di procedere con qualsiasi aggiornamento massivo

⚠️ Nota importante: Ci sono altri 126 plugin minori (con meno di 10.000 installazioni) che presentano vulnerabilità rilevate. Se utilizzi plugin meno diffusi, controlla attentamente la dashboard di sicurezza del tuo sito.

🔍 Conclusioni

La settimana del 25 febbraio 2026 mostra un panorama di sicurezza preoccupante con 49 vulnerabilità non corrette su 205 totali. La presenza di SQL Injection in plugin popolari come wpForo Forum e Business Directory Plugin richiede particolare attenzione. Gli amministratori WordPress devono agire tempestivamente per proteggere i propri siti, aggiornando i plugin vulnerabili e valutando alternative per quelli senza patch disponibili.

La sicurezza del tuo sito WordPress dipende dalla tua capacità di reagire rapidamente a queste minacce. Non rimandare gli aggiornamenti di sicurezza.