Vulnerabilità WordPress: Aggiornamento del Mese di Maggio 2023

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress.

Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Maggio.

Vulnerabilità WordPress: Aggiornamento del Mese di Maggio 2023

Elementor

Vulnerabilità: SQL Injection; Missing Authorization to Settings Update; Broken Access Control
Numero di siti interessati: 5,000,000+

Autoptimize

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000,000+

Custom Post Type UI plugin

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 1,000,000+

Ad Inserter

Vulnerabilità: PHP Object Injection
Numero di siti interessati: 300,000+

Orbit Fox

Vulnerabilità: Server Side Request Forgery (SSRF)
Numero di siti interessati: 300,000+

Customizer Export/Import

Vulnerabilità: PHP Object Injection
Numero di siti interessati: 200,000+

Stream

Vulnerabilità: Insecure Direct Object References (IDOR)
Numero di siti interessati: 80,000+

ActiveCampaign

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 70,000+

Advanced Woo Search

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 70,000+

Profile Builder

Vulnerabilità: Sensitive Data Exposure
Numero di siti interessati: 60,000+

AJAX Thumbnail Rebuild

Vulnerabilità: Broken Access Control
Numero di siti interessati: 50,000+

Easy Digital Downloads

Vulnerabilità: Privilege Escalation
Numero di siti interessati: 50,000+

Mega Addons For WPBakery Page Builder

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 50,000+

Shield Security

Vulnerabilità: Cross Site Scripting (XSS); Broken Access Control
Numero di siti interessati: 50,000+

HTTP Headers

Vulnerabilità: SQL Injection
Numero di siti interessati: 40,000+

WP Popups

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 30,000+

Custom 404 Pro

Vulnerabilità: SQL Injection
Numero di siti interessati: 10,000+

Liquid Speech Balloon

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 10,000+

NEX-Forms

Vulnerabilità: SQL Injection
Numero di siti interessati: 10,000+

Ultimate Addons for Contact Form 7

Vulnerabilità: SQL Injection
Numero di siti interessati: 10,000+

Weaver Xtreme Theme Support

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

Japanized For WooCommerce

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

Integration for Contact Form 7 HubSpot

Vulnerabilità: Open Redirection
Numero di siti interessati: 7,000+

Active Directory Integration / LDAP Integration

Vulnerabilità: Sensitive Data Exposure
Numero di siti interessati: 6,000+

CM On Demand Search And Replace

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 5,000+

Responsive Filterable Portfolio

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 3,000+

WP BrowserUpdate

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 3,000+

Thumbnail carousel slider

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 3,000+

User IP and Location

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 2,000+

wordpress vertical image slider plugin

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 2,000+

WP Directory Kit

Vulnerabilità: Open Redirection
Numero di siti interessati: 2,000+

Extensions for Leaflet Map

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Mass Email To users

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Plugins List

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Stock Sync for WooCommerce

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Photo Gallery Slideshow & Masonry Tiled Gallery

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Zephyr Project Manager

Vulnerabilità: Open Redirection
Numero di siti interessati: 1,000+

Logo Scheduler

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 100+

Google Analytics by MonsterInsights

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 3,000,000+

Essential Addons for Elementor

Vulnerabilità: Unauthenticated Privilege Escalation
Numero di siti interessati: 1,000,000+

Loginizer

Vulnerabilità: Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 1,000,000+

WP Fastest Cache

Vulnerabilità: Server Side Request Forgery (SSRF)
Numero di siti interessati: 1,000,000+

ExactMetrics

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 700,000+

MW WP Form

Vulnerabilità: Directory Traversal via _file_upload
Numero di siti interessati: 200,000+

Download Manager

Vulnerabilità: Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode; Sensitive Data Exposure
Numero di siti interessati: 100,000+

Give – Donation Plugin

Vulnerabilità: PHP Object Injection
Numero di siti interessati:100,000+

Hide My WP Ghost

Vulnerabilità: Address Spoofing to Protection Mechanism Bypass
Numero di siti interessati: 100,000+

Newsletter, SMTP, Email marketing and Subscribe forms by Sendinblue

Vulnerabilità: Reflected Cross-Site Scripting via ‘lang’
Numero di siti interessati: 100,000+

Slimstat Analytics

Vulnerabilità: SQL Injection; Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 100,000+

AnyWhere Elementor

Vulnerabilità: Sensitive Data Exposure
Numero di siti interessati: 90,000+

Custom Field Suite

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 50,000+

Easy Hide Login

Vulnerabilità: Cross Site Request Forgery (CSRF); Cross Site Scripting (XSS)
Numero di siti interessati: 40,000+

Forget About Shortcode Buttons

Vulnerabilità: Broken Access Control
Numero di siti interessati: 40,000+

Post Snippets – Custom WordPress Code Snippets Customizer

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 30,000+

Zero Spam for WordPress

Vulnerabilità: SQL Injection
Numero di siti interessati: 30,000+

Login Rebuilder

Vulnerabilità: Admin+ Stored Cross Site Scripting (XSS)
Numero di siti interessati: 20,000+

ShortPixel Adaptive Images – WebP, AVIF, CDN, Image Optimization

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 20,000+

10Web Social Post Feed

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 20,000+

Product Addons & Fields for WooCommerce

Vulnerabilità: Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 20,000+

Custom 404 Pro

Vulnerabilità: Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

RegistrationMagic

Vulnerabilità: Authentication Bypass
Numero di siti interessati: 10,000+

GTmetrix for WordPress

Vulnerabilità: Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

Restaurant Menu – Food Ordering System – Table Reservation

Vulnerabilità: Reflected Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

SALERT

Vulnerabilità: Broken Access Control; Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

Snow Monkey Forms

Vulnerabilità: Directory Traversal via ‘view’ REST endpoint
Numero di siti interessati: 10,000+

Block Bad Bots and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 10,000+

Ultimate Addons for Contact Form 7

Vulnerabilità: SQL Injection
Numero di siti interessati: 10,000+

Wise Chat

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 9,000+

WP SMS

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 9,000+

My WP Customize Admin/Frontend

Vulnerabilità: Authenticated (Administrator+) Stored Cross-Site Scripting via plugin settings
Numero di siti interessati: 7,000+

Brands for WooCommerce

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 6,000+

Active Directory Integration / LDAP Integration

Vulnerabilità: Cross-Site Request Forgery to SQL Injection; Authenticated (Administrator+) SQL Injection
Numero di siti interessati: 6,000+

VikBooking Hotel Booking Engine & PMS

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 6,000+

CM On Demand Search And Replace

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 5,000+

Community by PeepSo

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 4,000+

WP Custom Cursors

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 4,000+

GS Pins for Pinterest

Vulnerabilità: Broken Access Control
Numero di siti interessati: 3,000+

Seo By 10Web

Vulnerabilità: Admin+ Stored XSS
Numero di siti interessati: 3,000+

Bit Form

Vulnerabilità: RCE via Unauthenticated Arbitrary File Upload
Numero di siti interessati: 2,000+

Groundhogg

Vulnerabilità: Cross Site Request Forgery (CSRF) to Privilege Escalation; Multiple Missing Authorization; Auth. Stored Cross-Site Scripting (XSS)
Numero di siti interessati: 2,000+

OTP Login Woocommerce & Gravity Forms

Vulnerabilità: Authentication Bypass to Privilege Escalation
Numero di siti interessati: 2,000+

Multiple Page Generator Plugin

Vulnerabilità: Authenticated (Administrator+) SQL Injection; Cross Site Request Forgery (CSRF)
Numero di siti interessati: 2,000+

Predictive Search for WooCommerce

Vulnerabilità: Broken Access Control
Numero di siti interessati: 2,000+

video carousel slider with lightbox

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 2,000+

Zotpress

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 2,000+

BP Social Connect

Vulnerabilità: Authentication Bypass
Numero di siti interessati: 1,000+

EventPrime

Vulnerabilità: Sensitive Data Exposure
Numero di siti interessati: 1,000+

Novelist

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

reCAPTCHA for all

Vulnerabilità: Broken Access Control
Numero di siti interessati: 1,000+

Smart App Banner

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 1,000+

WIP Custom Login

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 1,000+

WishSuite – Wishlist for WooCommerce

Vulnerabilità:Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

WooDiscuz – WooCommerce Comments

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 1,000+

Video Gallery

Vulnerabilità: Cross Site Scripting (XSS)
Numero di siti interessati: 900+

Predictive Search

Vulnerabilità: Missing Authorization
Numero di siti interessati: 20+

Ricerca smart and advanced search

Vulnerabilità: Cross Site Request Forgery (CSRF)
Numero di siti interessati: 20+

AutomateWoo

Vulnerabilità: Cross Site Request Forgery (CSRF); Manager+ SQL Injection; AutomateWoo
Numero di siti interessati: N/A

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress.

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

Vulnerabilità WordPress: Aggiornamento del Mese di Maggio 2023

Realizzare un sito web in massima sicurezza

Possiamo esserti utili?