Vulnerabilità WordPress: Aggiornamento del Mese di Dicembre 2022
Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress.
Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Dicembre.
Workreap
- Vulnerabilità: Subscriber+ Arbitrary Posts Deletion via IDOR
- Numero di siti interessati: N/A
Plugin Logic
- Vulnerabilità: Admin+ SQLi
- Numero di siti interessati: N/A
Advanced Booking Calendar
- Vulnerabilità: CSRF; Unauthenticated SQLi
- Numero di siti interessati: N/A
IWS – Geo Form Fields
- Vulnerabilità: Unauthenticated SQLi
- Numero di siti interessati: N/A
Supra CSV
- Vulnerabilità: Stored Cross-Site Scripting via CSRF
- Numero di siti interessati: N/A
Eventify
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: N/A
Bulk Delete Users by Email
- Vulnerabilità: User Deletion via CSRF; Reflected Cross-Site Scripting
- Numero di siti interessati: N/A
Menu Item Visibility Control
- Vulnerabilità: Admin+ Arbitrary PHP Code Execution
- Numero di siti interessati: N/A
ImageInject
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: N/A
Paytium
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: N/A
YITH WooCommerce Gift Cards Premium
- Vulnerabilità: Reflected Cross-Site Scripting
- Numero di siti interessati: N/A
Contest Gallery Pro
- Vulnerabilità: Admin+ SQL Injection
- Numero di siti interessati: N/A
Booster for WooCommerce
- Vulnerabilità: Reflected Cross-Site Scripting
- Numero di siti interessati: N/A
WP CSV Exporter
- Vulnerabilità: CSV Injection
- Numero di siti interessati: N/A
ARMember
- Vulnerabilità: Unauthenticated Privilege Escalation
- Numero di siti interessati: N/A
Simple:Press
- Vulnerabilità: Admin+ Arbitrary File Update; Subscriber+ Arbitrary File Deletion; Unauthenticated Stored XSS via Forum Replies; Subscriber+ Stored XSS via Profile Signatures
- Numero di siti interessati: 600+
Contest Gallery
- Vulnerabilità: Author+ SQL Injection; Unauthenticated SQL Injection
- Numero di siti interessati: 1,000+
WordPress Filter Gallery Plugin
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 1,000+
Chained Quiz
- Vulnerabilità: Admin+ Stored XSS; Multiple Reflected Cross-Site Scripting; Arbitrary Question Deletion via CSRF; Reflected Cross-Site Scripting; Submitted Quiz Response Deletion via CSRF; Arbitrary Quiz Deletion & Copying via CSRF
- Numero di siti interessati: 2,000+
WP Smart Import
- Vulnerabilità: Reflected Cross-Ste Scripting
- Numero di siti interessati: 2,000+
Return Refund and Exchange For WooCommerce
- Vulnerabilità: Unauthenticated Arbitrary File Upload
- Numero di siti interessati: 4,000+
Kwayy HTML Sitemap
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 7,000+
Advanced Coupons for WooCommerce Coupons
- Vulnerabilità: Notice Dismiss via CSRF
- Numero di siti interessati: 10,000+
All-in-One Addons for Elementor – WidgetKit
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 10,000+
WP-Ban
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 10,000+
Simple Basic Contact Form
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 10,000+
GD bbPress Attachments
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 10,000+
Welcart e-Commerce
- Vulnerabilità: Subscriber+ PHAR Deserialisation; Unauthenticated Arbitrary File Access; Subscriber+ Arbitrary File Access
- Numero di siti interessati: 20,000+
Google Apps Login
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 20,000+
WP Google Review Slider
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 20,000+
Appointment Hour Booking
- Vulnerabilità: Unauthenticated iFrame Injection; CSV Injection; CAPTCHA Bypass
- Numero di siti interessati: 30,000+
Sliderby10Web
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 30,000+
Quiz and Survey Master
- Vulnerabilità: Unauthenticated iFrame Injection; Improper Input Validation
- Numero di siti interessati: 40,000+
Stop Spammers Security
- Vulnerabilità: Unauthenticated PHP Object Injection
- Numero di siti interessati: 60,000+
Booster for WooCommerce
- Vulnerabilità: Unauthenticated PHP Object Injection
- Numero di siti interessati: 70,000+
Custom Product Tabs for WooCommerce
- Vulnerabilità: Admin+ Stored XSS
- Numero di siti interessati: 100,000+
Easy WP SMTP
- Vulnerabilità: Admin+ Arbitrary File Deletion; Admin+ Arbitrary File Access
- Numero di siti interessati: 600,000+
Autoptimize
- Vulnerabilità: Sensitive Data Disclosure
- Numero di siti interessati: 1,000,000+
Realizzare un sito web in massima sicurezza
Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress.
Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.
Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.
Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.
Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.