Vulnerabilità WordPress: Aggiornamento del Mese di Agosto 2023

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Solidwp di alcuni dei Plugin vulnerabili noti nel mese di Agosto.

Vulnerabilità WordPress: Aggiornamento del Mese di Agosto 2023

WPCode

  • Vulnerabilità:Auth. Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000,000+

Ninja Forms

  • Vulnerabilità: Reflected Cross Site Scripting (XSS); Subscriber+ Broken Access Control; Contributor+ Broken Access Control
  • Numero di siti interessati: 800,000+

The Events Calendar

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 800,000+

Duplicate Post

  • Vulnerabilità: Missing Authorization on handle_installation function; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 200,000+

Social Media Share Buttons & Social Sharing Icons

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 200,000+

TI WooCommerce Wishlist

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 100,000+

Clone

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 100,000+

Change WP Admin

  • Vulnerabilità: Bypass Vulnerability
  • Numero di siti interessati: 90,000+

Backup Migration

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 80,000+

Simple Author Box

  • Vulnerabilità: Insecure Direct Object References (IDOR)
  • Numero di siti interessati: 60,000+

Custom Field Template

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 50,000+

Enhanced Text Widget

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 50,000+

ACF Photo Gallery Field

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 50,000+

Quiz And Survey Master

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 40,000+

Redirect Redirection

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 30,000+

Media from FTP

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 20,000+

PHP Everywhere

  • Vulnerabilità: Remote Code Execution (RCE)
  • Numero di siti interessati: 20,000+

Video Conferencing with Zoom

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 20,000+

SSL Mixed Content Fix

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 10,000+

Pop-up

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 10,000+

Ultimate Posts Widget

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 10,000+

User Activity Log

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 10,000+

Assistant

  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • Numero di siti interessati: 4,000+

Simple Blog Card

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 3,000+

Discussion Board

  • Vulnerabilità: Content Injection
  • Numero di siti interessati: 3,000+

Contact Form Builder by Bit Form

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

RSS Redirect & Feedburner Alternative

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

CodeBard’s Patron Button and Widgets for Patreon

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

QR code MeCard/vCard generator

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

Church Admin

  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • Numero di siti interessati: 1,000+

InstaWP Connect

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000+

Bit Assist

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 900+

WordPress Job Board and Recruitment Plugin – JobWP

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 300+

Local Development

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 100+

CartFlows Pro

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: N/A

 Shop as a Customer for WooCommerce

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: N/A 

Social Share Icons & Social Share Buttons

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: N/A

Schema Pro

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: N/A

WP Brutal AI

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

WPML String Translation

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: N/A

Advanced Custom Fields

  • Vulnerabilità: Authenticated Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000,000+

Duplicate Post

  • Vulnerabilità: Cross Site Request Forgery (CSRF) via AJAX action
  • Numero di siti interessati: 200,000+

 TI WooCommerce Wishlist

  • Vulnerabilità: Unauthenticated Blind SQL Injection via Rest API
  • Numero di siti interessati: 100,000+

Change WP Admin

  • Vulnerabilità: Secret Login Page Disclosure
  • Numero di siti interessati: 90,000+

The Post Grid

  • Vulnerabilità: Cross Site Request Forgery (CSRF) Leading To CSS Change
  • Numero di siti interessati: 60,000+

 PostX – Gutenberg Post Grid Blocks

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 30,000+

Media from FTP

  • Vulnerabilità: Improper Privilege Management
  • Numero di siti interessati: 20,000+

Themesflat Addons For Elementor

  • Vulnerabilità: Unauthenticated PHP Object Injection
  • Numero di siti interessati: 20,000+

WP Ultimate CSV Importer

  • Vulnerabilità: Authenticated Arbitrary Usermeta Update to Privilege Escalation; Sensitive Information Exposure via Directory Listing; Authenticated PHP file upload to Remote Code Execution (RCE); Authenticated Remote Code Execution (RCE)
  • Numero di siti interessati: 20,000+

Booking Package

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati:10,000+

Stripe Payment Plugin for WooCommerce

  • Vulnerabilità: Authentication Bypass
  • Numero di siti interessati: 10,000+

Simple Blog Card

  • Vulnerabilità: Sensitive Data Exposure; Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
  • Numero di siti interessati: 3,000+

Leyka

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

Photo Gallery by Ays – Responsive Image Gallery

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

Sign-up Sheets

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

Upload Media By URL

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

Bus Ticket Booking with Seat Reservation

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 900+

Simple Ticker

  • Vulnerabilità: Authenticated (Contributor+) Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 400+

Job Board and Recruitment Plugin – JobWP

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: 300+

wpShopGermany – Protected Shops

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 40+

JetElements For Elementor

  • Vulnerabilità: Authenticated Remote Code Execution (RCE)
  • Numero di siti interessati: N/A

Shop as a Customer for WooCommerce

  • Vulnerabilità: Shop Manager+ Privilege Escalation
  • Numero di siti interessati: N/A

Simple Share Follow Button

  • Vulnerabilità: Authenticated (Contributor+) Stored Cross Site Scripting (XSS) via Shortcode
  • Numero di siti interessati: N/A

Header Footer Code Manager

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 400,000+

Gutenberg Blocks by Kadence Blocks – Page Builder

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: 300,000+

Ultimate Member

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 200,000+

EmbedPress

  • Vulnerabilità: Cross Site Scripting (XSS); Broken Access Control
  • Numero di siti interessati: 80,000+

The Post Grid

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 60,000+

Post Grid Combo

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 50,000+

Profile Builder

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 50,000+

Chatbot

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 30,000+

Popup by Supsystic

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 20,000+

Themesflat Addons For Elementor

  • Vulnerabilità: PHP Object Injection
  • Numero di siti interessati: 20,000+

Booking Package

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 10,000+

Justified Gallery

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Qubely

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

User Activity Log

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

WP Project Manager

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Premium Packages

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: 5,000+

Stock Ticker

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 4,000+

Accordion and Accordion Slider

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 3,000+

Online Booking & Scheduling Calendar for WordPress by vcita

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 3,000+

Paid Memberships Pro

  • Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS)
  • Numero di siti interessati: 3,000+

User Activity Tracking and Log

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 3,000+

WooCommerce PDF Invoice Builder

  • Vulnerabilità: SQL Injection; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 3,000+

ImageRecycle pdf & image compression

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

Leyka

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

Portfolio and Projects

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

WP Testimonials

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Atarim

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

Bubble Menu

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

Photo Gallery by Ays – Responsive Image Gallery

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

POEditor

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

Sign-up Sheets

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

Post Timeline

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 800+

wpShopGermany – Protected Shops

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 40+

Advanced Custom Fields Pro premium

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

ARMember Premium

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: N/A

Biometric Login for WooCommerce

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: N/A

Avada Builder

  • Vulnerabilità: Cross Site Scripting (XSS); Cross Site Request Forgery (CSRF); Broken Access Control; SQL Injection
  • Numero di siti interessati: N/A

Jupiter X Core

  • Vulnerabilità: Broken Access Control, Broken Access Control
  • Numero di siti interessati: N/A

 WooCommerce One Page Checkout

  • Vulnerabilità: Local File Inclusion
  • Numero di siti interessati: N/A

InfiniteWP Client

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 300,000+

Advanced File Manager

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 100,000+

Blog2Social

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 70,000+

wpDataTables

  • Vulnerabilità: PHP Object Injection
  • Numero di siti interessati: 70,000+

WP-PostRatings

  • Vulnerabilità: Bypass Vulnerability
  • Numero di siti interessati: 50,000+

Cost Calculator Builder

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 30,000+

Countdown Timer Ultimate

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 20,000+

Media from FTP

  • Vulnerabilità: Settings Change
  • Numero di siti interessati: 20,000+

User Submitted Posts

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 20,000+

Album and Image Gallery plus Lightbox

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Cookies and Content Security Policy

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 10,000+

 Stripe Payment Plugin for WooCommerce

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Smart SEO Tool

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 10,000+

Orders Tracking for WooCommerce

  • Vulnerabilità: Directory Traversal
  • Numero di siti interessati: 10,000+

Testimonial Grid and Testimonial Slider plus Carousel with Rotator Widget

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

WP VR

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 10,000+

Blog Designer – Post and Widget

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 8,000+

WP Remote Users Sync

  • Vulnerabilità: Broken Access Control; Server Side Request Forgery (SSRF)
  • Numero di siti interessati: 8,000+

Meta Slider and Carousel with Lightbox

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 7,000+

Plausible Analytics

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 7,000+

Post grid and filter ultimate

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 7,000+

Timeline and History slider

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 6,000+

JS Help Desk – Best Help Desk & Support Plugin

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: 5,000+

Team Slider and Team Grid Showcase plus Team Carousel

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 4,000+

Trending/Popular Post Slider and Widget

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 4,000+

Video Gallery & Management

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 4,000+

Accordion and Accordion Slider

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 3,000+

DoLogin Security

  • Vulnerabilità: Bypass Vulnerability
  • Numero di siti interessati: 3,000+

Video gallery and Player

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 3,000+

Accordion Slider

  • Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS); Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Doofinder for WooCommerce

  • Vulnerabilità: Open Redirection
  • Numero di siti interessati: 2,000+

Portfolio and Projects

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

Post Ticker Ultimate

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

 CLUEVO LMS

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 700+

Serial Codes Generator and Validator with WooCommerce Support

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 600+

Event Tickets with Ticket Scanner

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 500+

Products Quick View for WooCommerce

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 100+

123.chat

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 40+

Paid Memberships Pro CCBill Gateway

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: N/A

ElementsKit Lite

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000,000+

Hide My WP Ghost – Security Plugin

  • Vulnerabilità: Bypass Vulnerability
  • Numero di siti interessati: 200,000+

Slimstat Analytics

  • Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS)
  • Numero di siti interessati: 100,000+

Folders

  • Vulnerabilità: Arbitrary File Upload
  • Numero di siti interessati: 60,000+

iThemes Sync

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 50,000+

FV Flowplayer Video Player

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 30,000+

Donation Forms by Charitable

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: 10,000+

ReviewX

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

URL Shortify

  • Vulnerabilità: 10,000+
  • Numero di siti interessati: Cross Site Scripting (XSS)

Category Slider for WooCommerce

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 9,000+

Herd Effects

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 5,000+

Order Tracking Pro

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 4,000+

DoLogin Security

  • Vulnerabilità: Bypass Vulnerability
  • Numero di siti interessati: 3,000+

WooCommerce PDF Invoice Builder

  • Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS)
  • Numero di siti interessati: 3,000+

WP Adminify

  • Vulnerabilità: 1,000+
  • Numero di siti interessati: Cross Site Scripting (XSS)

Premmerce User Roles

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000+ 

Save as PDF plugin by Pdfcrowd

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

Event Tickets with Ticket Scanner

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 600+

Push Notification for Post and BuddyPress

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 200+

WP VK-??????

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 100+

Save as Image plugin by Pdfcrowd

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 30+

Appointment booking addon for Gravity Forms

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

Video gallery and Player

  • Vulnerabilità: Arbitrary File Upload; Privilege Escalation
  • Numero di siti interessati: N/A

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

Vulnerabilità WordPress: Aggiornamento del Mese di Luglio 2023
Vulnerabilità WordPress: Aggiornamento del Mese di Settembre 2023

Pronto a trasformare la tua presenza online?