Hai un sito Wordpress? Tutte le vulnerabilità di Dicembre 2021

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Patchstack di alcuni dei Plugin vulnerabili noti nel mese di Dicembre.

Hai un sito Wordpress? Tutte le vulnerabilità di Dicembre 2021

SEOPress, on-site SEO

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 100.000+

Charitable – Donation Plugin

  • Vulnerabilità: Unauthenticated Stored Cross-Site Scripting (XSS); Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 10.000+

GiveWP – Donation Plugin and Fundraising Platform

  • Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 100.000+

Simple Social Buttons

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

Nested Pages

  • Vulnerabilità: Open Redirect; Cross-Site Request Forgery (CSRF)
  • Numero di siti interessati: 80.000+

Real Media Library Lite

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

Booster for WooCommerce

  • Vulnerabilità: Authentication Bypass
  • Numero di siti interessati: 80.000+

Advanced Custom Fields

  • Vulnerabilità: Arbitrary ACF Data/Field Groups View and Fields Move
  • Numero di siti interessati: 1 milione+

WooCommerce Dynamic Pricing & Discounts

  • Vulnerabilità: Unauthenticated Settings Export; Unauthenticated Settings Import and Stored XSS
  • Numero di siti interessati: 19.000+

underConstruction

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 80.000+

Gutenberg Template Library & Redux Framework

  • Vulnerabilità: Incorrect Authorization Leading to Arbitrary Plugin Installation and Post Deletion
  • Numero di siti interessati: 1 milione+

Easy Social Icons

  • Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

WordPress Automatic Plugin

  • Vulnerabilità: Unauthenticated Arbitrary WordPress Options Change
  • Numero di siti interessati: 26.000+

WordPress core

  • Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core; Data Exposure via REST API vulnerability; Authenticated Cross-Site Scripting (XSS)
  • Numero di siti interessati: N/A

WP Simple Booking Calendar

  • Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core
  • Numero di siti interessati: 10.000+

Loco Translate

  • Vulnerabilità: Authenticated PHP Code Injection
  • Numero di siti interessati: 1 milione+

WPSchoolPress

  • Vulnerabilità: Multiple Authenticated SQL Injections (SQLi)
  • Numero di siti interessati: 2.000+

Asgaros Forum

  • Vulnerabilità: Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: 20.000+

Brizy – Page Builder

  • Vulnerabilità: Authenticated File Upload and Path Traversal; Authenticated Stored Cross-Site Scripting (XSS); Incorrect authorization checks allowing Post modification
  • Numero di siti interessati: 90.000+

WP Fastest Cache

  • Vulnerabilità: Cross-Site Request Forgery (CSRF) vulnerability leading to Stored Cross-Site Scripting (XSS); Authenticated SQL Injection (SQLi)
  • Numero di siti interessati: 1 milione+

Sassy Social Share

  • Vulnerabilità: Missing Authorization Controls to PHP Object Injection
  • Numero di siti interessati: 100.000+

LearnPress

  • Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 100.000+

Catch Themes Demo Import

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: 10.000+

Registration Forms

  • Vulnerabilità: Open Redirect
  • Numero di siti interessati: 5.000+

Simple Job Board

  • Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 20.000+

Popup Anything – A Marketing Popup

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 50.000+

eCommerce Product Catalog Plugin for WordPress

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 10.000+

HashThemes Demo Importer

  • Vulnerabilità: Improper Access Control allowing content deletion
  • Numero di siti interessati: 8.000+

OptinMonster

  • Vulnerabilità: Unprotected REST-API to Sensitive Information Disclosure and Unauthorized API access
  • Numero di siti interessati: 1 milione+

WPS Hide Login

  • Vulnerabilità: Protection Bypass with Referer-Header
  • Numero di siti interessati: 1 milione+

NextScripts: Social Networks Auto-Poster

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 90.000+

Smash Balloon Social Post Feed

  • Vulnerabilità: Stored Cross-Site Scripting (XSS) via Arbitrary Setting Update
  • Numero di siti interessati: 200.000+

myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin

  • Vulnerabilità: SQL Injection (SQLi)
  • Numero di siti interessati: 20.000+

Easy Google Maps

  • Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 40.000+

My Calendar

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 30.000+

WP DSGVO Tools (GDPR)

  • Vulnerabilità: Unauthenticated Arbitrary Post Deletion
  • Numero di siti interessati: 30.000+

WP Google Fonts

  • Vulnerabilità: Unauthenticated Arbitrary Post Deletion
  • Numero di siti interessati: 80.000+

Registrations for the Events Calendar

  • Vulnerabilità: SQL Injection (SQLi)
  • Numero di siti interessati: 10.000+

Tawk.To Live Chat

  • Vulnerabilità: Visitor Monitoring & Chat Removal
  • Numero di siti interessati: 200.000+

Secure Copy Content Protection and Content Locking

  • Vulnerabilità: Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: 10.000+

WordPress core

  • Vulnerabilità: Expired DST Root CA X3 Certificate issue
  • Numero di siti interessati: N/A

WP Reset PRO Premium

  • Vulnerabilità: Cross-Site Request Forgery (CSRF)
  • Numero di siti interessati: 400.000+

Starter Templates — Elementor, Gutenberg & Beaver Builder Templates

  • Vulnerabilità: Authenticated Block Import leading to Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 1 milione+

WPO365

  • Vulnerabilità: Stored Cross-Site Scripting (XSS)
  • Numero di siti interessati: 4.000+

Temporary Login Without Password

  • Vulnerabilità: Unauthorized Plugin's Settings Update
  • Numero di siti interessati: 40.000+

Stop Bad Bots

  • Vulnerabilità: Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: 10.000+

SportsPress – Sports Club & League Manager

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 20.000+

Login/Signup Popup ( Inline Form + Woocommerce )

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 20.000+

WP Visitor Statistics (Real Time Traffic)

  • Vulnerabilità: SQL Injection (SQLi)
  • Numero di siti interessati: 20.000+

WCFM Marketplace

  • Vulnerabilità: Unauthenticated SQL Injection (SQLi)
  • Numero di siti interessati: 30.000+

Everest Forms

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 100.000+

10Web Social Photo Feed

  • Vulnerabilità: Reflected Cross-Site Scripting (XSS)
  • Numero di siti interessati: 60.000+

RegistrationMagic

  • Vulnerabilità: Authentication Bypass vulnerability
  • Numero di siti interessati: 10.000+
Hai un sito Wordpress? Tutte le vulnerabilità di Dicembre 2021

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

 

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook