Vulnerabilità WordPress: Aggiornamento del Mese di Dicembre

Vulnerabilità WordPress: Aggiornamento del Mese di Dicembre

Vulnerabilità WordPress: Aggiornamento del Mese di Dicembre

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Web Arx di alcuni dei Plugin vulnerabili noti nel mese di Dicembre, riscontrati anche da Wordfence.

Vulnerabilità WordPress: Aggiornamento del Mese di Dicembre

SEOPress, on-site SEO

Vulnerabilità: Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 100.000+

Charitable – Donation Plugin

Vulnerabilità: Unauthenticated Stored Cross-Site Scripting (XSS); Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 10.000+

GiveWP – Donation Plugin and Fundraising Platform

Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 100.000+

Simple Social Buttons

Vulnerabilità: Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 40.000+

Nested Pages

Vulnerabilità: Open Redirect; Cross-Site Request Forgery (CSRF)

Numero di siti interessati: 80.000+

Real Media Library Lite

Vulnerabilità: Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 40.000+

Booster for WooCommerce

Vulnerabilità: Authentication Bypass

Numero di siti interessati: 80.000+

Advanced Custom Fields

Vulnerabilità: Arbitrary ACF Data/Field Groups View and Fields Move

Numero di siti interessati: 1 milione+

WooCommerce Dynamic Pricing & Discounts

Vulnerabilità: Unauthenticated Settings Export; Unauthenticated Settings Import and Stored XSS

Numero di siti interessati: 19.000+

underConstruction

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 80.000+

Gutenberg Template Library & Redux Framework

Vulnerabilità: Incorrect Authorization Leading to Arbitrary Plugin Installation and Post Deletion

Numero di siti interessati: 1 milione+

Easy Social Icons

Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 40.000+

WordPress Automatic Plugin

Vulnerabilità: Unauthenticated Arbitrary WordPress Options Change

Numero di siti interessati: 26.000+

WordPress core

Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core; Data Exposure via REST API vulnerability; Authenticated Cross-Site Scripting (XSS)

Numero di siti interessati: N/A

WP Simple Booking Calendar

Vulnerabilità: Command injection vulnerability in the Lodash library in WordPress core

Numero di siti interessati: 10.000+

Loco Translate

Vulnerabilità: Authenticated PHP Code Injection

Numero di siti interessati: 1 milione+

WPSchoolPress

Vulnerabilità: Multiple Authenticated SQL Injections (SQLi)

Numero di siti interessati: 2.000+

Asgaros Forum

Vulnerabilità: Unauthenticated SQL Injection (SQLi)

Numero di siti interessati: 20.000+

Brizy – Page Builder

Vulnerabilità: Authenticated File Upload and Path Traversal; Authenticated Stored Cross-Site Scripting (XSS); Incorrect authorization checks allowing Post modification

Numero di siti interessati: 90.000+

WP Fastest Cache

Vulnerabilità: Cross-Site Request Forgery (CSRF) vulnerability leading to Stored Cross-Site Scripting (XSS); Authenticated SQL Injection (SQLi)

Numero di siti interessati: 1 milione+

Sassy Social Share

Vulnerabilità: Missing Authorization Controls to PHP Object Injection

Numero di siti interessati: 100.000+

LearnPress

Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 100.000+

Catch Themes Demo Import

Vulnerabilità: Arbitrary File Upload

Numero di siti interessati: 10.000+

Registration Forms

Vulnerabilità: Open Redirect

Numero di siti interessati: 5.000+

Simple Job Board

Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 20.000+

Popup Anything – A Marketing Popup

Vulnerabilità: Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 50.000+

eCommerce Product Catalog Plugin for WordPress

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 10.000+

HashThemes Demo Importer

Vulnerabilità: Improper Access Control allowing content deletion

Numero di siti interessati: 8.000+

OptinMonster

Vulnerabilità: Unprotected REST-API to Sensitive Information Disclosure and Unauthorized API access

Numero di siti interessati: 1 milione+

WPS Hide Login

Vulnerabilità: Protection Bypass with Referer-Header

Numero di siti interessati: 1 milione+

NextScripts: Social Networks Auto-Poster

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 90.000+

Smash Balloon Social Post Feed

Vulnerabilità: Stored Cross-Site Scripting (XSS) via Arbitrary Setting Update

Numero di siti interessati: 200.000+

myCred – Points, Rewards, Gamification, Ranks, Badges & Loyalty Plugin

Vulnerabilità: SQL Injection (SQLi)

Numero di siti interessati: 20.000+

Easy Google Maps

Vulnerabilità: Authenticated Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 40.000+

My Calendar

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 30.000+

WP DSGVO Tools (GDPR)

Vulnerabilità: Unauthenticated Arbitrary Post Deletion

Numero di siti interessati: 30.000+

WP Google Fonts

Vulnerabilità: Unauthenticated Arbitrary Post Deletion

Numero di siti interessati: 80.000+

Registrations for the Events Calendar

Vulnerabilità: SQL Injection (SQLi)

Numero di siti interessati: 10.000+

Tawk.To Live Chat

Vulnerabilità: Visitor Monitoring & Chat Removal

Numero di siti interessati: 200.000+

Secure Copy Content Protection and Content Locking

Vulnerabilità: Unauthenticated SQL Injection (SQLi)

Numero di siti interessati: 10.000+

WordPress core

Vulnerabilità: Expired DST Root CA X3 Certificate issue

Numero di siti interessati: N/A

WP Reset PRO Premium

Vulnerabilità: Cross-Site Request Forgery (CSRF)

Numero di siti interessati: 400.000+

Starter Templates — Elementor, Gutenberg & Beaver Builder Templates

Vulnerabilità: Authenticated Block Import leading to Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 1 milione+

WPO365

Vulnerabilità: Stored Cross-Site Scripting (XSS)

Numero di siti interessati: 4.000+

Temporary Login Without Password

Vulnerabilità: Unauthorized Plugin's Settings Update

Numero di siti interessati: 40.000+

Stop Bad Bots

Vulnerabilità: Unauthenticated SQL Injection (SQLi)

Numero di siti interessati: 10.000+

SportsPress – Sports Club & League Manager

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 20.000+

Login/Signup Popup ( Inline Form + Woocommerce )

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 20.000+

WP Visitor Statistics (Real Time Traffic)

Vulnerabilità: SQL Injection (SQLi)

Numero di siti interessati: 20.000+

WCFM Marketplace

Vulnerabilità: Unauthenticated SQL Injection (SQLi)

Numero di siti interessati: 30.000+

Everest Forms

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 100.000+

10Web Social Photo Feed

Vulnerabilità: Reflected Cross-Site Scripting (XSS)

Numero di siti interessati: 60.000+

RegistrationMagic

Vulnerabilità: Authentication Bypass vulnerability

Numero di siti interessati: 10.000+

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

 

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *

Commenta con Facebook