Vulnerabilità WordPress: Aggiornamento del Mese di Febbraio 2023

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Febbraio.

Vulnerabilità WordPress: Aggiornamento del Mese di Febbraio 2023

Spectra

  • Vulnerabilità: Contributor+ Stored Cross-Side Scripting
  • Numero di siti interessati: 400,000+

LearnPress Plugin

  • Vulnerabilità: CUnauthenticated LFI; Subscriber+ SQLi; Unauthenticated SQLi
  • Numero di siti interessati: 100,000+

Paid Memberships Pro

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: 100,000+

ShopLentor

  • Vulnerabilità: PHP Object Injection; Contributor+ Stored XSS
  • Numero di siti interessati: 90,000+

Real Media Library

  • Vulnerabilità: Author+ Stored XSS
  • Numero di siti interessati: 60,000+

Easy Digital Downloads

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 50,000+

Customer Reviews for WooCommerce

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 50,000+

Easy Affiliate Links

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 10,000+

WP Font Awesome

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 10,000+

 Product Slider and Carousel with Category for WooCommerce

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: 10,000+

WP Dark Mode

  • Vulnerabilità: Contributor+ Stored XSS in Shortcode
  • Numero di siti interessati: 10,000+

Greenshift

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 10,000+

Youzify

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 8,000+

Timed Content

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 400,000+

Extensive VC Addons for WPBakery page builder

  • Vulnerabilità: Unauthenticated LFI
  • Numero di siti interessati: 8,000+

Watu Quiz

  • Vulnerabilità: Admin+ Stored XSS; Reflected XSS
  • Numero di siti interessati: 5,000+

EmbedSocial

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 4,000+

GS Portfolio for Envato

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 900+

Shortcode for Font Awesome

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 700+

EmbedStories

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 600+

Loan Comparison

  • Vulnerabilità: Reflected XSS via shortcode; Contributor+ Stored XSS via shortcode
  • Numero di siti interessati: 500+

GS Products Slider for WooCommerce

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 400+

GS Filterable Portfolio

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 400+

GS Books Showcase

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 400+

PrivateContent

  • Vulnerabilità: Brute Force Protection Bypass
  • Numero di siti interessati: N/A

BackupBuddy

  • Vulnerabilità: Multiple Reflected Cross-Site Scripting
  • Numero di siti interessati: N/A

WP Private Message

  • Vulnerabilità: Private Message Disclosure via IDOR
  • Numero di siti interessati: N/A

Quick Restaurant Menu

  • Vulnerabilità: Menu Items Update via CSRF; Admin+ Stored XSS; Subscriber+ Arbitrary Post Deletion/Updating
  • Numero di siti interessati: N/A

ContentStudio < 1.2.6 - Authorisation Bypass

  • Vulnerabilità: Authorisation Bypass
  • Numero di siti interessati: N/A

ContentStudio

  • Vulnerabilità: Nonce Disclosure
  • Numero di siti interessati: N/A

Markup

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: 30,000+

Page Builder: Live Composer

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: 20,000+

Login Logout Menu

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Easy Social Box

  • Vulnerabilità: Contributor+ Stored Cross-Side Scripting
  • Numero di siti interessati: 400,000+

Intuitive Custom Post Order

  • Vulnerabilità: Arbitrary Menu Order Update via CSRF; Subscriber+ Arbitrary Menu Order Update
  • Numero di siti interessati: N/A

Simple File Downloader

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Post Views Count

  • Vulnerabilità: Contributor+ Stored XSS in Shortcode
  • Numero di siti interessati: N/A

WP Responsive Testimonials Slider And Widget

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: N/A

Opening Hours

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Hueman Addons

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Video.js – HTML5 Video Player for WordPress

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Download Video Sidebar Widgets

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Bootstrap Shortcodes

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Ocean Extra

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 700,000+

VK All in One Expansion Unit

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 100,000+

Metform Elementor Contact Form Builder

  • Vulnerabilità: Unauthenticated Stored XSS
  • Numero di siti interessati: 100,000+

My Sticky Elements

  • Vulnerabilità: Admin+ SQLi
  • Numero di siti interessati: 40,000+

Print Invoice & Delivery Notes for WooCommerce

  • Vulnerabilità: woocommerce-delivery-notes
  • Numero di siti interessati: 40,000+

Wufoo Shortcode

  • Vulnerabilità: Contributor+ Stored Cross-Side Scripting
  • Numero di siti interessati: 20,000+

ShortPixel Adaptive Images

  • Vulnerabilità: Reflected XSS
  • Numero di siti interessati: 20,000+

GeoDirectory

  • Vulnerabilità: Admin+ SQLi
  • Numero di siti interessati: 400,000+

Pie Register

  • Vulnerabilità: Open Redirect
  • Numero di siti interessati: 4,000+

Arigato Autoresponder and Newsletter

  • Vulnerabilità: Admin+ Stored XSS
  • Numero di siti interessati: 1,000+

Donation Block For PayPal

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 800+

Namaste! LMS

  • Vulnerabilità: Admin+ Stored XSS
  • Numero di siti interessati: 700+

GS Insever Portfolio

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: 100+

User Activity

  • Vulnerabilità: IP Spoofing
  • Numero di siti interessati: 300+

GigPress

  • Vulnerabilità: Subscriber+ SQLi
  • Numero di siti interessati: N/A

Embed PDF

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Custom Add User

  • Vulnerabilità: Reflected Cross-Site Scripting
  • Numero di siti interessati: N/A

Show-Hide / Collapse-Expand

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

List Pages Shortcode

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Galleries by Angie Makes

  • Vulnerabilità: Contributor+ Stored XSS via Shortcode
  • Numero di siti interessati: N/A

Correos Oficial

  • Vulnerabilità: Unauthenticated Arbitrary File Download
  • Numero di siti interessati: N/A

Olevmedia Shortcodes

  • Vulnerabilità: Unauthenticated Arbitrary File Download
  • Numero di siti interessati: N/A

Olevmedia Shortcodes

  • Vulnerabilità: Contributor+ Stored XSS
  • Numero di siti interessati: N/A

0mk Shortener

  • Vulnerabilità: Stored XSS via CSRF
  • Numero di siti interessati: N/A

WordPress Rank Math SEO plugin

  • Vulnerabilità: Local File Inclusion vulnerability
  • Numero di siti interessati: 1,000,000+

WordPress WP-Optimize plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000,000+

WordPress Shortcodes Ultimate plugin

  • Vulnerabilità: Server Side Request Forgery (SSRF); Arbitrary File Download; Cross Site Scripting (XSS)
  • Numero di siti interessati: 700,000+

WordPress Under Construction Plugin

  • Vulnerabilità: Multiple CSRF Vulnerabilities
  • Numero di siti interessati: 600,000+

WordPress Redirection for Contact Form 7 plugin

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: 300,000+

WordPress Icegram Express – Email Subscribers, Newsletters and Marketing Automation Plugin plugin

  • Vulnerabilità: CSV Injection
  • Numero di siti interessati: 100,000+

WordPress Plugin for Google Reviews plugin

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 100,000+

WordPress Mercado Pago payments for WooCommerce plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 100,000+

WordPress WooLentor plugin

  • Vulnerabilità: Contributor+ Stored Cross-Side Scripting
  • Numero di siti interessati: 100,000+

WordPress Auto Featured Image (Auto Post Thumbnail) plugin

  • Vulnerabilità: Authenticated(Admin+) Remote File Download vulnerability
  • Numero di siti interessati: 80,000+

WordPress Ajax Search Lite plugin

  • Vulnerabilità: Auth. Data Exposure vulnerability
  • Numero di siti interessati: 70,000+

WordPress A2 Optimized WP plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 60,000+

WordPress Schema – All In One Schema Rich Snippets plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 60,000+

WordPress Profile Builder plugin

  • Vulnerabilità: Sensitive Information Disclosure via Shortcode vulnerability
  • Numero di siti interessati: 60,000+

WordPress Void Contact Form 7 Widget For Elementor Page Builder plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 40,000+

WordPress All-in-one Floating Contact Form plugin

  • Vulnerabilità: Authenticated (Admin+) SQL Injection vulnerability
  • Numero di siti interessati: 40,000+

WordPress Quiz And Survey Master plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 40,000+

WordPress Visualizer: Tables and Charts Manager for WordPress plugin

  • Vulnerabilità:Cross Site Scripting (XSS)
  • Numero di siti interessati: 40,000+

WordPress Actionable Google Analytics and Google Shopping plugin for WooCommerce plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 30,000+

WordPress WordPress Social Login and Register (Discord, Google, Twitter, LinkedIn) plugin

  • Vulnerabilità: Arbitrary Content Deletion
  • Numero di siti interessati: 30,000+

WordPress Responsive Pricing Table plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 20,000+

WordPress Interactive Geo Maps plugin

  • Vulnerabilità: Authenticated (Editor+) Stored Cross-Site Scripting vulnerability
  • Numero di siti interessati: 20,000+

WordPress Wicked Folders plugin

  • Vulnerabilità: Missing Authorization via ajax_save_state vulnerability; Missing Authorization on ajax_save_folder_order vulnerability; Cross-Site Request Forgery via ajax_clone_folder vulnerability; Cross-Site Request Forgery via ajax_edit_folder vulnerability; Missing Authorization on ajax_edit_folder vulnerability; Missing Authorization via ajax_delete_folder vulnerability; Cross-Site Request Forgery via ajax_save_state vulnerability; Cross-Site Request Forgery via ajax_add_folder vulnerability; Missing Authorization on ajax_save_folder vulnerability; Cross-Site Request Forgery on ajax_move_object vulnerability; Missing Authorization on ajax_save_sort_order vulnerability; Cross-Site Request Forgery via ajax_delete_folder vulnerability; Cross-Site Request Forgery via ajax_save_folder_order vulnerability; Missing Authorization on ajax_move_object vulnerability; Cross-Site Request Forgery on ajax_save_folder vulnerability; Missing Authorization on ajax_add_folder vulnerability
  • Numero di siti interessati: 20,000+

WordPress CURCY plugin

  • Vulnerabilità: Unauthenticated plugin settings change vulnerability
  • Numero di siti interessati: 20,000+

WordPress WordPress Robots.txt optimization (+ XML Sitemap) – Website traffic, SEO & ranking Booster plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 10,000+

WordPress eCommerce Product Catalog Plugin for WordPress plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 10,000+

WordPress GamiPress plugin

  • Vulnerabilità: SQL Injection; Cross Site Request Forgery (CSRF); Missing Authorization Leading to Points Manipulation Vulnerability
  • Numero di siti interessati: 10,000+

WordPress Qubely plugin

  • Vulnerabilità: Authenticated(Contributor+) Stored Cross-Site Scripting vulnerability
  • Numero di siti interessati: 10,000+

WordPress Cost of Goods for WooCommerce plugin

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 8,000+

WordPress Shoppable Images plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 8,000+

WordPress Woocommerce Vietnam Checkout plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 8,000+

WordPress Google Maps CP plugin

  • Vulnerabilità: Missing Authorization Leading To Feedback Submission Vulnerability
  • Numero di siti interessati: 7,000+

WordPress Portfolio – WordPress Portfolio Plugin plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 7,000+

WordPress Announce from the Dashboard plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 6,000+

WordPress Icegram Collect – Easy Form, Lead Collection and Subscription plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 6,000+

WordPress Auto Hide Admin Bar plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 5,000+

WordPress Fancy Comments WordPress plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 5,000+

WordPress Tickera – WordPress Event Ticketing plugin

  • Vulnerabilità: CSRF Leading To Post Status Change Vulnerability
  • Numero di siti interessati: 5,000+

WordPress Auto Affiliate Links plugin

  • Vulnerabilità: Unauth. Broken Access Control vulnerability
  • Numero di siti interessati: 5,000+

WordPress WordPress Comments Import & Export plugin

  • Vulnerabilità: CSV Injection
  • Numero di siti interessati: 3,000+

WordPress Quick Contact Form plugin

  • Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS)
  • Numero di siti interessati: 3,000+

WordPress Chained Quiz plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

WordPress Locatoraid Store Locator plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

WordPress WPGlobus Translate Options plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

WordPress Auto YouTube Importer plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

WordPress Arigato Autoresponder and Newsletter plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1.000+

WordPress OWM Weather plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1.000+

WordPress Twitch Player plugin

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1.000+

WordPress Booking Calendar Contact Form plugin

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 900+

WordPress Gutenberg Forms plugin

  • Vulnerabilità: Auth. Broken Access Control vulnerability
  • Numero di siti interessati: 700+

WordPress RSVPMaker plugin

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 500+

WordPress PayPal Brasil para WooCommerce plugin

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: N/A

WordPress Slider by Supsystic plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 5,000+

WordPress WeChat Robot plugin

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 300+

WordPress 0mk Shortener plugin

  • Vulnerabilità: Cross-Site Request Forgery to Stored Cross-Site Scripting vulnerability
  • Numero di siti interessati: N/A

WordPress Monolit Theme theme

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

WordPress ColorWay theme

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,314,098,000+

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *