LOUD Agency
In memoria diLuca Pantano (1989-2021)

Report Sicurezza WordPress – 8 Aprile 2026: 67 vulnerabilità, 4 plugin senza patch

5 min di lettura
admin
Report Sicurezza WordPress – 8 Aprile 2026: 67 vulnerabilità, 4 plugin senza patch

📊 Panoramica della settimana

Il report di sicurezza di questa settimana evidenzia 67 vulnerabilità nei plugin WordPress, di cui 63 già corrette e 4 ancora senza patch disponibile. È inoltre disponibile WordPress 6.9.4 che risolve 10 problemi di sicurezza critici. L’aggiornamento immediato è fortemente raccomandato per tutti i siti in produzione.

WordPress 7.0 RC2 è disponibile per test in ambienti di staging, con rilascio finale previsto per il 9 aprile 2026.

🚨 Allarme rosso

I seguenti plugin presentano vulnerabilità critiche o ad alta severità e hanno un numero significativo di installazioni attive. Richiesta azione immediata.

JS Help Desk

  • Installazioni: 8.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-2511
  • Gravità: CRITICAL
  • ✅ Soluzione: Aggiorna alla versione 3.0.5

Contact Form by Supsystic

  • Installazioni: 7.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-4257
  • Gravità: CRITICAL
  • ✅ Soluzione: Aggiorna alla versione 1.8.0

Everest Forms Pro

  • Installazioni: Non specificato
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-3300
  • Gravità: CRITICAL
  • ✅ Soluzione: Aggiorna alla versione 1.9.13

ThemeREX Addons

  • Installazioni: Non specificato
  • Vulnerabilità: Arbitrary File Upload
  • CVE: 2026-1969
  • Gravità: CRITICAL
  • ✅ Soluzione: Aggiorna alla versione 2.38.5

Debugger & Troubleshooter

  • Installazioni: 50+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-5130
  • Gravità: CRITICAL
  • ✅ Soluzione: Aggiorna alla versione 1.4.0

Loco Translate

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4146
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.8.3

W3 Total Cache

  • Installazioni: 900.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-5032
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.9.4

Kadence Blocks

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2826
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.6.4

SureForms

  • Installazioni: 500.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-4987
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.6.0

MW WP Form

  • Installazioni: 200.000+
  • Vulnerabilità: Directory Traversal
  • CVE: 2026-4347
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 5.1.1

Query Monitor

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4267
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.20.4

Ultimate Member

  • Installazioni: 200.000+
  • Vulnerabilità: Privilege Escalation
  • CVE: 2026-4248
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.11.3

Booking for Appointments and Events Calendar – Amelia

  • Installazioni: 90.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-5465
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.2

Booking for Appointments and Events Calendar – Amelia

  • Installazioni: 90.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-4668
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.1.3

Media Library Assistant

  • Installazioni: 70.000+
  • Vulnerabilità: SQL Injection
  • CVE: 2026-34885
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.35

Simple Membership

  • Installazioni: 40.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-34886
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 4.7.2

Blackhole for Bad Bots

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-4329
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.8.1

Fluent Booking

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2231
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.0.05

WCFM – Frontend Manager for WooCommerce

  • Installazioni: 20.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-4896
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 6.7.26

Frontend Admin by DynamiApps

  • Installazioni: 10.000+
  • Vulnerabilità: PHP Object Injection
  • CVE: 2026-3328
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.28.32

Spam Protect for Contact Form 7

  • Installazioni: 10.000+
  • Vulnerabilità: Remote Code Execution (RCE)
  • CVE: 2026-1540
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 1.2.10

Bricksforge

  • Installazioni: Non specificato
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-34888
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 3.1.8.5

Gravity SMTP

  • Installazioni: Non specificato
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-4020
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.1.5

Perfmatters

  • Installazioni: Non specificato
  • Vulnerabilità: Arbitrary File Deletion
  • CVE: 2026-4350
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 2.6.0

⛔ Plugin non patchati – azione urgente

I seguenti plugin presentano vulnerabilità confermate ma non hanno ancora una patch disponibile. Se li utilizzi, considera di disattivarli temporaneamente o cerca alternative sicure.

Auto Post Scheduler

  • Slug: auto-post-scheduler
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1877
  • Gravità: HIGH
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

IDPay Payment Gateway for Woocommerce

  • Slug: woo-idpay-gateway
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-34891
  • Gravità: HIGH
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

MSTW League Manager

  • Slug: mstw-league-manager
  • Installazioni: 100+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34890
  • Gravità: MEDIUM
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

Performance Monitor

  • Slug: performance-monitor
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2026-3881
  • Gravità: MEDIUM
  • ❌ Stato: NESSUNA PATCH DISPONIBILE

📋 Altri aggiornamenti importanti

Plugin con vulnerabilità di severità media e più di 10.000 installazioni attive. L’aggiornamento è raccomandato.

Elementor Website Builder

  • Installazioni: 10.000.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-1206
  • ✅ Soluzione: Aggiorna alla versione 3.35.8

ElementsKit Elementor Addons

  • Installazioni: 2.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2600
  • ✅ Soluzione: Aggiorna alla versione 3.8.0

Complianz – GDPR/CCPA Cookie Consent

  • Installazioni: 1.000.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2389
  • ✅ Soluzione: Aggiorna alla versione 7.4.5

WooPayments

  • Installazioni: 900.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-1710
  • ✅ Soluzione: Aggiorna alla versione 10.6.0

Kadence Blocks

  • Installazioni: 600.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-2826
  • ✅ Soluzione: Aggiorna alla versione 3.6.4

Royal Addons for Elementor

  • Installazioni: 600.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0664
  • ✅ Soluzione: Aggiorna alla versione 1.7.1050

WP Shortcodes Plugin — Shortcodes Ultimate

  • Installazioni: 400.000+
  • Vulnerabilità: Cross Site Scripting (XSS) (multipli)
  • CVE: 2026-0738, 2026-0737, 2026-2480
  • ✅ Soluzione: Aggiorna alla versione 7.5.0

Ultimate Member

  • Installazioni: 200.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-15064
  • ✅ Soluzione: Aggiorna alla versione 2.11.2

Kubio AI Page Builder

  • Installazioni: 100.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34887
  • ✅ Soluzione: Aggiorna alla versione 2.7.1

Download Monitor

  • Installazioni: 90.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-3124
  • ✅ Soluzione: Aggiorna alla versione 5.1.8

Database for Contact Form 7, WPforms, Elementor forms

  • Installazioni: 70.000+
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-3831
  • ✅ Soluzione: Aggiorna alla versione 1.5.0

Media Library Assistant

  • Installazioni: 70.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34897
  • ✅ Soluzione: Aggiorna alla versione 3.35

Conditional Menus

  • Installazioni: 60.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-1032
  • ✅ Soluzione: Aggiorna alla versione 1.2.7

Export All URLs

  • Installazioni: 50.000+
  • Vulnerabilità: Sensitive Data Exposure
  • CVE: 2026-2696
  • ✅ Soluzione: Aggiorna alla versione 5.1

User Profile Builder

  • Installazioni: 50.000+
  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • CVE: 2026-3139
  • ✅ Soluzione: Aggiorna alla versione 3.15.6

Gutenverse

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2924
  • ✅ Soluzione: Aggiorna alla versione 3.4.7

WP Lightbox 2

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1430
  • ✅ Soluzione: Aggiorna alla versione 3.0.7

Xpro Addons — 140+ Widgets for Elementor

  • Installazioni: 30.000+
  • Vulnerabilità: Cross Site Scripting (XSS) (multipli)
  • CVE: 2025-13368, 2026-2949
  • ✅ Soluzione: Aggiorna alla versione 1.4.25

Twentig Supercharged Block Editor

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2602
  • ✅ Soluzione: Aggiorna alla versione 2.0

WP Travel Engine

  • Installazioni: 20.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-2437
  • ✅ Soluzione: Aggiorna alla versione 6.7.6

Ibtana – WordPress Website Builder

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-1834
  • ✅ Soluzione: Aggiorna alla versione 1.2.5.8

King Addons for Elementor

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2025-13535
  • ✅ Soluzione: Aggiorna alla versione 51.1.54

Minify HTML

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • CVE: 2026-3191
  • ✅ Soluzione: Aggiorna alla versione 2.1.13

Responsive Plus – Elementor Templates & Starter Sites

  • Installazioni: 10.000+
  • Vulnerabilità: Arbitrary Code Execution
  • CVE: 2025-15488
  • ✅ Soluzione: Aggiorna alla versione 3.4.3

Simple Shopping Cart

  • Installazioni: 10.000+
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-0552
  • ✅ Soluzione: Aggiorna alla versione 5.2.5

LeadConnector

  • Installazioni: Non specificato
  • Vulnerabilità: Broken Access Control
  • CVE: 2026-1890
  • ✅ Soluzione: Aggiorna alla versione 3.0.22

Ultimate Addons for WPBakery Page Builder

  • Installazioni: Non specificato
  • Vulnerabilità: Cross Site Scripting (XSS)
  • CVE: 2026-34889
  • ✅ Soluzione: Aggiorna alla versione 3.21.4

🎨 Vulnerabilità nei temi

Oxygen

  • Download: 403.225
  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • CVE: 2025-12886
  • Gravità: HIGH
  • ✅ Soluzione: Aggiorna alla versione 6.0.9

💡 Raccomandazioni finali

  • Aggiorna immediatamente WordPress a 6.9.4 per proteggere il core del tuo sito
  • Controlla la presenza di plugin e temi vulnerabili nella tua installazione
  • Disattiva temporaneamente i 4 plugin senza patch se li utilizzi
  • Implementa un sistema di monitoraggio automatico delle vulnerabilità
  • Effettua backup completi prima di ogni aggiornamento

⚠️ Ci sono altri 15 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito.

Nota: WordPress 7.0 è in fase di test avanzato (RC2) e sarà rilasciato il 9 aprile 2026. Testalo in ambienti di staging prima della migrazione in produzione.