Vulnerabilità WordPress: Aggiornamento del Mese di Luglio 2023

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Luglio.

Vulnerabilità WordPress: Aggiornamento del Mese di Luglio 2023

Formidable Forms

  • Vulnerabilità:Auth. Remote Code Execution (RCE)
  • Numero di siti interessati: 300,000+

Chaty

  • Vulnerabilità: Authenticated Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 200,000+

Ultimate Member

  • Vulnerabilità: Unauthenticated Privilege Escalation
  • Numero di siti interessati: 200,000+

EmbedPress

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 80,000+

Login/Signup Popup

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 30,000+

Social Login and Register

  • Vulnerabilità: Authentication Broken Authentication
  • Numero di siti interessati: 30,000+

Subscribe2

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 30,000+

Contact Form & Lead Form Elementor Builder

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 20,000+

Supsystic Popup

  • Vulnerabilità: Prototype Pollution
  • Numero di siti interessati: 20,000+

WPGraphQL

  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • Numero di siti interessati: 20,000+

WP ERP

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 9,000+

Active Directory Integration / LDAP Integration

  • Vulnerabilità: Unauthenticated LDAP Injection
  • Numero di siti interessati: 5,000+

MStore API

  • Vulnerabilità: Unauth. SQL Injection
  • Numero di siti interessati: 5,000+

Poll Maker

  • Vulnerabilità: Server Side Request Forgery (SSRF)
  • Numero di siti interessati: 5,000+

Th Product Compare

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 5,000+

Waitlist WooCommerce ( Back in stock notifier )

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 5,000+

Short URL

  • Vulnerabilità: Authenticated Stored Cross Site Scripting (XSS); SQL Injection
  • Numero di siti interessati: 2,000+

WP Inventory Manager

  • Vulnerabilità: Inventory Items Deletion via Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Kanban Boards for WordPress

  • Vulnerabilità: Auth. Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

Request a Quote

  • Vulnerabilità: 1,000+
  • Numero di siti interessati: Cross Site Request Forgery (CSRF)

LiquidPoll

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000+

Front User Submit / Front Editor

  • Vulnerabilità: Auth. Stored Cross Site Scripting (XSS) 
  • Numero di siti interessati: 200+

TrustProfile

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 200+

Knowledge Center

  • Vulnerabilità: Authenticated Cross Site Scripting (XSS)
  • Numero di siti interessati: 20+

Catalyst Connect Zoho CRM Client Portal

  • Vulnerabilità: Auth. Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 10+

ARMember

  • Vulnerabilità: Stored Cross Site Scripting (XSS) on Common Messages Settings
  • Numero di siti interessati: N/A

AutomateWoo

  • Vulnerabilità: Cross Site Request Forgery (CSRF); Broken Access Control
  • Numero di siti interessati: N/A

Houzez CRM

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: N/A

Salon Booking System

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: N/A

LearnDash LMS

  • Vulnerabilità: Authenticated IDOR to Account Takeover
  • Numero di siti interessati: N/A

WooCommerce Order Barcodes

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: N/A

WooCommerce Ship to Multiple Addresses

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: N/A

WP Post Author

  • Vulnerabilità: Privilege Escalation
  • Numero di siti interessati: N/A

WP-Optimize

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000,000+

Ninja Forms

  • Vulnerabilità: Denial of Service Attack
  • Numero di siti interessati: 900,000+

Forminator

  • Vulnerabilità: Unauth. Race Condition
  • Numero di siti interessati: 400,000+

POST SMTP Mailer

  • Vulnerabilità: Account Takeover via Cross Site Request Forgery (CSRF); Arbitrary Log Deletion via Cross Site Request Forgery (CSRF)
  • Numero di siti interessati:  300,000+

ShopLentor

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 100,000+

WP Content Copy Protection & No Right Click

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 100,000+

LearnPress

  • Vulnerabilità: Authenticated Broken Access Control; Unauthenticated Broken Access Control
  • Numero di siti interessati: 90,000+

HTTP Headers

  • Vulnerabilità: Cross Site Scripting (XSS); Admin+ Remote Code Execution (RCE)
  • Numero di siti interessati: 40,000+

All-in-one Floating Contact Form

  • Vulnerabilità: Admin+ Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 40,000+

JetFormBuilder

  • Vulnerabilità: Authenticated Privilege Escalation
  • Numero di siti interessati: 30,000+

Visibility Logic for Elementor

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 30,000+

IP2Location Country Blocker

  • Vulnerabilità: IP Bypass Vulnerability
  • Numero di siti interessati: 20,000+

ND Shortcodes

  • Vulnerabilità: Auth. Cross Site Scripting (XSS)
  • Numero di siti interessati: 20,000+

wpForo Forum

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 20,000+

Yasr – Yet Another Stars Rating

  • Vulnerabilità: Race Condition
  • Numero di siti interessati: 20,000+

Booking Package SAASPROJECT

  • Vulnerabilità: Unauthenticated Privilege Escalation
  • Numero di siti interessati: 10,000+

Cryptocurrency Widgets – Price Ticker & Coins List

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Image Regenerate & Select Crop

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

WP Mail Log

  • Vulnerabilità: Unauthenticated Stored Cross Site Scripting (XSS) via Email
  • Numero di siti interessati: 10,000+

Companion Sitemap Generator

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 9,000+

Buy Me a Coffee – Button and Widget Plugin

  • Vulnerabilità: Cross Site Request Forgery (CSRF); Missing Authorization
  • Numero di siti interessati: 6,000+

Buy Me a Coffee

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 6,000+

WP Dummy Content Generator

  • Vulnerabilità: Broken Access Control; Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 4,000+

WebwinkelKeu

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 3,000+

ARMember

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Gift Cards

  • Vulnerabilità: Cross Site Request Forgery (CSRF) in new_voucher_template.php
  • Numero di siti interessati: 2,000+

Masteriyo – LMS

  • Vulnerabilità: Sensitive Data Exposure
  • Numero di siti interessati: 2,000+

BuddyBuilder BuddyPress Builder for Elementor

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Terms descriptions

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

Sublanguage

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000+

WP Reroute Email

  • Vulnerabilità: Unauthenticated Stored Cross Site Scripting (XSS) via Email Subject
  • Numero di siti interessati: 1,000+

WPFactory Helper

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

RSVPMaker

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 400+

Getnet Argentina para Woocommerce

  • Vulnerabilità: Authorization Bypass via webhook
  • Numero di siti interessati: 200+

My Content Management

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 200+

Auto Location for WP Job Manager via Google

  • Vulnerabilità: Admin+ Cross Site Scripting (XSS)
  • Numero di siti interessati: 100+

tagDiv Cloud Library

  • Vulnerabilità: Unauthenticated Arbitrary User Metadata Update to Privilege Escalation
  • Numero di siti interessati:N/A

WooCommerce GoCardless Gateway

  • Vulnerabilità: Unauth. Insecure Direct Object References (IDOR)
  • Numero di siti interessati: N/A

WooCommerce Ship to Multiple Addresses

  • Vulnerabilità: Reflected Cross Site Scripting (XSS); Broken Access Control
  • Numero di siti interessati: N/A

WooCommerce Warranty Requests

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: N/A

Rank Math SEO

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000,000+

All In One WP Security

  • Vulnerabilità: Sensitive Data Exposure of Plaintext Credentials
  • Numero di siti interessati: 1,000,000+

Spectra

  • Vulnerabilità: Server Side Request Forgery (SSRF); Broken Access Control
  • Numero di siti interessati: 500,000+

FluentForm

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 300,000+

Post SMTP

  • Vulnerabilità: Unauthenticated Stored Cross-Site Scripting via Email
  • Numero di siti interessati: 300,000+

HT Mega Absolute Addons for Elementor

  • Vulnerabilità: Unauthenticated Privilege Escalation
  • Numero di siti interessati: 100,000+

ARPP – Yet Another Related Posts Plugin

  • Vulnerabilità: Authenticated (Contributor+) Stored Cross Site Scripting (XSS)
  • Numero di siti interessati: 100,000+

kk Star Ratings

  • Vulnerabilità: Rate Manipulation due to IP Spoofing
  • Numero di siti interessati: 90,000+

Media Library Assistant

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 70,000+

Advanced AJAX Product Filters

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 60,000+

HTTP Headers

  • Vulnerabilità: Server Side Request Forgery (SSRF); Cross Site Scripting (XSS)
  • Numero di siti interessati: 40,000+

Quiz And Survey Master

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 40,000+

Super Socializer

  • Vulnerabilità: Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode
  • Numero di siti interessati: 40,000+

JetFormBuilder

  • Vulnerabilità: Authenticated Privilege Escalation
  • Numero di siti interessati: 30,000+

IP2Location Country Blocker

  • Vulnerabilità: IP Bypass Vulnerability
  • Numero di siti interessati: 20,000+

Yasr – Yet Another Stars Rating

  • Vulnerabilità: Race Condition
  • Numero di siti interessati: 20,000+

Booking Package SAASPROJECT

  • Vulnerabilità: Unathenticated Privilege Escalation
  • Numero di siti interessati: 10,000+

User Activity Log

  • Vulnerabilità: SQL Injection
  • Numero di siti interessati: 10,000+

Variation Swatches for WooCommerce

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 10,000+

Zippy

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 10,000+

Restaurant Menu and Food Ordering by Five Star

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 8,000+

Variation Images Gallery for WooCommerce

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: 8,000+

Buy Me a Coffee – Button and Widget Plugin

  • Vulnerabilità: Unauth. Server Information Disclosure
  • Numero di siti interessati: 7,000+

WooCommerce Product Stock Alert

  • Vulnerabilità: Cross Site Request Forgery (CSRF); Broken Access Control
  • Numero di siti interessati: 6,000+

AnsPress – Question and answer

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 5,000+

WPFunnels

  • Vulnerabilità: Reflected Cross Site Scripting (XSS); Insecure Direct Object References (IDOR)
  • Numero di siti interessati: 5,000+

Integrate Google Drive

  • Vulnerabilità: Unauthenticated Broken Access Control
  • Numero di siti interessati: 3,000+

ARMember

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Authors List

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+

Integration for Contact Form 7 and Salesforce

  • Vulnerabilità: Open Redirection
  • Numero di siti interessati: 2,000+

Gift Cards

  • Vulnerabilità: Cross-Site Request Forgery in new_voucher_template.php
  • Numero di siti interessati: 2,000+

KB Support – WordPress Help Desk

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

Short URL

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 2,000+ 

BuddyBuilder BuddyPress Builder for Elementor

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 2,000+

Checkout with Zelle on Woocommerce

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 2,000+

Custom Field For WP Job Manager

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

DirectoryPress

  • Vulnerabilità: Broken Access Control
  • Numero di siti interessati: 1,000+

Falang multilanguage

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

MF Gig Calendar

  • Vulnerabilità: Cross Site Scripting (XSS)
  • Numero di siti interessati: 1,000+

WP Social AutoConnect

  • Vulnerabilità: Cross Site Request Forgery (CSRF)
  • Numero di siti interessati: 1,000+

MailArchiver

  • Vulnerabilità: Unauthenticated Stored Cross-Site Scripting via Email Subject
  • Numero di siti interessati: 100+

CartFlows Pro

  • Vulnerabilità: Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

Grid Kit Premium

  • Vulnerabilità: N/A
  • Numero di siti interessati: Multiple Reflected Cross Site Scripting (XSS)

Premium Addons PRO

  • Vulnerabilità: Broken Access Control; Sensitive Data Exposure
  • Numero di siti interessati: N/A

WooCommerce GoCardless Gateway

  • Vulnerabilità: Unauth. Insecure Direct Object References (IDOR)
  • Numero di siti interessati: N/A

WooCommerce Ship to Multiple Addresses

  • Vulnerabilità: Reflected Cross Site Scripting (XSS); Reflected Cross Site Scripting (XSS)
  • Numero di siti interessati: N/A

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

Possiamo esserti utili?

Ti è piaciuto questo articolo? Vuoi saperne di più? Non esitare a scriverci!

EMail   *
Nominativo/Azienda   *
Telefono
Messaggio   *
Vuoi iscriverti alla newsletter?
Accettazione Privacy Policy   *