Report Sicurezza WordPress – 25 Marzo 2026: 275 Vulnerabilità Critiche, Plugin Popolari a Rischio

📊 Panoramica generale

Il report di sicurezza del 25 marzo 2026 evidenzia una situazione critica nell’ecosistema WordPress: sono state identificate 275 vulnerabilità distribuite tra core, plugin e temi. WordPress 6.9.4 è stato rilasciato come aggiornamento di sicurezza urgente, mentre WordPress 7.0 RC1 è disponibile per test in ambienti staging.

Statistiche chiave:

Plugin vulnerabili: 275 (162 patchati, 113 non patchati)
Temi vulnerabili: 56 (49 patchati, 7 non patchati)
Vulnerabilità critiche: 24 con gravità Critical
Plugin popolari coinvolti: 15+ con oltre 100.000 installazioni

⚠️ Azione richiesta: Aggiorna immediatamente a WordPress 6.9.4 e verifica tutti i plugin attivi sul tuo sito.

🚨 Allarme rosso: plugin critici più diffusi

Questi plugin combinano alta diffusione e gravità critica/alta, rappresentando il rischio maggiore per la community WordPress:

JetFormBuilder — Dynamic blocks form builder

Installazioni: 90.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-32525
✅ Soluzione: Aggiorna alla versione 3.5.6.2

Woody code snippets – Insert PHP, CSS, JS

Installazioni: 60.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-25366
✅ Soluzione: Aggiorna alla versione 2.7.2

Appointment booking calendar — Simply schedule

Installazioni: 60.000+
Vulnerabilità: SQL Injection
CVE: 2026-3658
✅ Soluzione: Aggiorna alla versione 1.6.10.2

Mixed media gallery blocks

Installazioni: 40.000+
Vulnerabilità: Arbitrary Code Execution
CVE: 2026-25345
✅ Soluzione: Aggiorna alla versione 3.3.2.1

Kali forms — Contact form builder

Installazioni: 20.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-3584
✅ Soluzione: Aggiorna alla versione 2.4.10

Photo gallery, sliders — NextGEN gallery

Installazioni: 400.000+
Vulnerabilità: Local File Inclusion
CVE: 2026-1463
✅ Soluzione: Aggiorna alla versione 4.0.5

Post SMTP – Complete email deliverability

Installazioni: 400.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-3090
✅ Soluzione: Aggiorna alla versione 3.9.0

SlimStat analytics

Installazioni: 80.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-1238
✅ Soluzione: Aggiorna alla versione 5.4.0

Online scheduling — Bookly

Installazioni: 70.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-32540
✅ Soluzione: Aggiorna alla versione 26.8

SMTP mailer

Installazioni: 70.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2026-32538
✅ Soluzione: Aggiorna alla versione 1.1.25

User registration & membership

Installazioni: 60.000+
Vulnerabilità: Privilege Escalation
CVE: 2026-32488
✅ Soluzione: Aggiorna alla versione 5.1.3

Visual portfolio, photo gallery & post grid

Installazioni: 60.000+
Vulnerabilità: Local File Inclusion
CVE: 2026-32537
✅ Soluzione: Aggiorna alla versione 3.5.2

Dokan: AI powered multivendor marketplace

Installazioni: 40.000+
Vulnerabilità: Broken Authentication
CVE: 2026-24359
✅ Soluzione: Aggiorna alla versione 4.2.5

Print invoice & delivery notes for WooCommerce

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25317
✅ Soluzione: Aggiorna alla versione 6.0.0

PublishPress authors

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25309
✅ Soluzione: Aggiorna alla versione 4.11.0

WP user frontend: AI powered frontend posting

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-32485
✅ Soluzione: Aggiorna alla versione 4.2.9

Post snippets — Custom code snippets

Installazioni: 20.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-25001
✅ Soluzione: Aggiorna alla versione 4.0.13

Membership plugin – Restrict content

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-32546
✅ Soluzione: Aggiorna alla versione 3.2.23

Team – Team members showcase plugin

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25026
✅ Soluzione: Aggiorna alla versione 5.0.12

weForms – Easy drag & drop contact form

Installazioni: 10.000+
Vulnerabilità: PHP Object Injection
CVE: 2026-32484
✅ Soluzione: Aggiorna alla versione 1.6.27

WP REST cache

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-25347
✅ Soluzione: Aggiorna alla versione 2026.1.1

Lead form builder & contact form

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-32532
✅ Soluzione: Aggiorna alla versione 2.0.2

⛔ Plugin critici non patchati

Questi plugin NON hanno ancora ricevuto aggiornamenti di sicurezza. Se li stai utilizzando, considera la disattivazione immediata:

Nexa blocks – Gutenberg blocks

Installazioni: 1.000+
Vulnerabilità: PHP Object Injection
CVE: 2026-25429
❌ Fix: NESSUNA PATCH DISPONIBILE

TotalPoll for polls and contests

Installazioni: 1.000+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-27044
❌ Fix: NESSUNA PATCH DISPONIBILE

Product rearrange for WooCommerce

Installazioni: 400+
Vulnerabilità: SQL Injection
CVE: 2026-31920
❌ Fix: NESSUNA PATCH DISPONIBILE

Widget wrangler

Installazioni: 200+
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-25447
❌ Fix: NESSUNA PATCH DISPONIBILE

ACPT (Pro) – Custom post types plugin

Installazioni: N/D
Vulnerabilità: Remote Code Execution (RCE)
CVE: 2026-25470
❌ Fix: NESSUNA PATCH DISPONIBILE

Fonts manager | Custom fonts

Installazioni: N/D
Vulnerabilità: SQL Injection
CVE: 2026-1800
❌ Fix: NESSUNA PATCH DISPONIBILE

Jobica core

Installazioni: N/D
Vulnerabilità: Broken Authentication
CVE: 2026-27049
❌ Fix: NESSUNA PATCH DISPONIBILE

Quentn WP

Installazioni: N/D
Vulnerabilità: SQL Injection
CVE: 2026-2468
❌ Fix: NESSUNA PATCH DISPONIBILE

📋 Altri aggiornamenti importanti (gravità media)

Plugin popolari con vulnerabilità di gravità media che richiedono comunque attenzione:

Yoast SEO – Advanced SEO

Installazioni: 10.000.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-3427
✅ Soluzione: Aggiorna alla versione 27.2

WPForms – Easy form builder

Installazioni: 6.000.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2026-25339
✅ Soluzione: Aggiorna alla versione 1.9.9.2

Yoast duplicate post

Installazioni: 4.000.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1217
✅ Soluzione: Aggiorna alla versione 4.6

Autoptimize

Installazioni: 900.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-2430, 2026-2352
✅ Soluzione: Aggiorna alla versione 3.1.15

Royal addons for Elementor

Installazioni: 600.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2373
✅ Soluzione: Aggiorna alla versione 1.7.1050

WP Go maps (formerly WP Google maps)

Installazioni: 300.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-4268
✅ Soluzione: Aggiorna alla versione 10.0.06

Download manager

Installazioni: 100.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2571
✅ Soluzione: Aggiorna alla versione 3.3.50

LatePoint – Calendar booking plugin

Installazioni: 100.000+
Vulnerabilità: Insecure Direct Object References (IDOR)
CVE: 2026-32533
✅ Soluzione: Aggiorna alla versione 5.2.7

Tutor LMS – eLearning platform

Installazioni: 100.000+
Vulnerabilità: Insecure Direct Object References (IDOR)
CVE: 2025-32223
✅ Soluzione: Aggiorna alla versione 3.9.5

EmailKit – Email customizer

Installazioni: 70.000+
Vulnerabilità: Path Traversal
CVE: 2026-3474
✅ Soluzione: Aggiorna alla versione 1.6.4

Contextual related posts

Installazioni: 60.000+
Vulnerabilità: Broken Access Control
CVE: 2026-32565
✅ Soluzione: Aggiorna alla versione 4.2.2

Master addons for Elementor

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-32462
✅ Soluzione: Aggiorna alla versione 2.1.4

PPWP – Password protect pages

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2026-32562
✅ Soluzione: Aggiorna alla versione 1.9.16

Ultimate post kit addons for Elementor

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2026-24362
✅ Soluzione: Aggiorna alla versione 4.0.22

Booster for WooCommerce

Installazioni: 30.000+
Vulnerabilità: Broken Access Control
CVE: 2026-32586
✅ Soluzione: Aggiorna alla versione 7.11.3

WP custom admin interface

Installazioni: 30.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-32521
✅ Soluzione: Aggiorna alla versione 7.43

New user approve

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25390
✅ Soluzione: Aggiorna alla versione 3.2.4

Thim kit for Elementor

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1870
✅ Soluzione: Aggiorna alla versione 1.3.8

Wicked folders – Folder organizer

Installazioni: 20.000+
Vulnerabilità: Insecure Direct Object References (IDOR)
CVE: 2026-1883
✅ Soluzione: Aggiorna alla versione 4.1.1

WP user frontend (duplicato)

Installazioni: 20.000+
Vulnerabilità: Broken Access Control
CVE: 2026-2233
✅ Soluzione: Aggiorna alla versione 4.2.9

Five star restaurant reservations

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-25327
✅ Soluzione: Aggiorna alla versione 2.7.10

Membership plugin – Restrict content

Installazioni: 10.000+
Vulnerabilità: Broken Authentication
CVE: 2026-4136
✅ Soluzione: Aggiorna alla versione 3.2.25

Review schema – Structure data plugin

Installazioni: 10.000+
Vulnerabilità: Sensitive Data Exposure
CVE: 2026-25344
✅ Soluzione: Aggiorna alla versione 2.2.7

Code embed

Installazioni: 10.000+
Vulnerabilità: Cross Site Scripting (XSS)
CVE: 2026-2512
✅ Soluzione: Aggiorna alla versione 2.5.2

Subscriptions for WooCommerce

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-1926
✅ Soluzione: Aggiorna alla versione 1.9.3

Spam protect for Contact Form 7

Installazioni: 10.000+
Vulnerabilità: Arbitrary File Deletion
CVE: 2026-32496
✅ Soluzione: Aggiorna alla versione 1.2.10

WPVulnerability

Installazioni: 10.000+
Vulnerabilità: Broken Access Control
CVE: 2026-24376
✅ Soluzione: Aggiorna alla versione 4.2.1.1

YML for Yandex market

Installazioni: 10.000+
Vulnerabilità: Arbitrary File Deletion
CVE: 2026-32567
✅ Soluzione: Aggiorna alla versione 5.3.0

🎨 Vulnerabilità nei temi WordPress

Sono stati identificati 56 temi vulnerabili, di cui 7 ancora privi di patch. I temi più critici includono:

Ona (tema popolare)

Download: 243.000+
Vulnerabilità: Arbitrary File Upload
CVE: 2026-32482
✅ Soluzione: Aggiorna alla versione 1.24

Photography (non patchato)

Vulnerabilità: Arbitrary File Upload
CVE: 2026-27043
❌ Fix: NESSUNA PATCH DISPONIBILE

Jannah (non patchato)

Vulnerabilità: Local File Inclusion
CVE: 2026-25464
❌ Fix: NESSUNA PATCH DISPONIBILE

Mixtape (non patchato)

Vulnerabilità: Local File Inclusion
CVE: 2026-25457
❌ Fix: NESSUNA PATCH DISPONIBILE

✅ Raccomandazioni immediate

Aggiorna WordPress Core: Installa immediatamente WordPress 6.9.4 per chiudere le 10 vulnerabilità di sicurezza identificate.
Verifica i plugin critici: Controlla se utilizzi uno dei plugin elencati nella sezione “Allarme Rosso” e aggiorna subito.
Disattiva plugin non patchati: Se usi plugin senza fix disponibile, disattivali e cerca alternative.
Backup completo: Esegui un backup prima di aggiornare componenti critici.
Monitora il tuo sito: Utilizza plugin di sicurezza come Wordfence o Sucuri per rilevare attività sospette.
Test in staging: Se gestisci siti mission-critical, testa WordPress 7.0 RC1 solo in ambienti di sviluppo.

⚠️ Nota importante: Ci sono altri 200+ plugin minori (con meno di 10.000 installazioni) con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per verificare se ne utilizzi qualcuno e consulta il database ufficiale delle vulnerabilità WordPress per dettagli completi.

📅 Prossimi rilasci

WordPress 7.0 è previsto per il 9 aprile 2026. La versione RC1 è attualmente disponibile per test, ma non deve essere installata su siti in produzione. Le organizzazioni dovrebbero pianificare test di compatibilità nei prossimi giorni per prepararsi al lancio ufficiale.