Vulnerabilità WordPress: Aggiornamento del Mese di Novembre 2022

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Novembre.

BeTheme

• Vulnerabilità: Subscriber+ Stored XSS
• Numero di siti interessati: N/A

Theme and plugin translation for Polylang

• Vulnerabilità: Unauthenticated Translation Settings Update
• Numero di siti interessati: N/A

Menu Item Visibility Control

• Vulnerabilità: Admin+ Arbitrary PHP Code Execution
• Numero di siti interessati: N/A

Popup Manager

• Vulnerabilità: Unauthenticated Arbitrary Popup Deletion; Unauthenticated Stored XSS
• Numero di siti interessati: N/A

Wholesale Market for WooCommerce

• Vulnerabilità: Subscriber+ Stored XSS
• Numero di siti interessati: N/A

WP CSV Exporter

• Vulnerabilità: CSV Injection
• Numero di siti interessati: N/A

SMSA Shipping for WooCommerce

• Vulnerabilità: Subscriber+ Arbitrary File Download
• Numero di siti interessati: N/A

FlyingPress

• Vulnerabilità: Arbitrary Settings Update to Stored XSS
• Numero di siti interessati: N/A

Responsive Lightbox2

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 300+

Simple:Press

• Vulnerabilità: Admin+ Arbitrary File Update; FILE DELETION; Unauthenticated Stored XSS via Forum Replies; Subscriber+ Stored XSS via Profile Signatures
• Numero di siti interessati: 600+

Syncee – Global Dropshipping

• Vulnerabilità: Authentication Token Disclosure
• Numero di siti interessati: 700+

InPost Gallery

• Vulnerabilità: Unauthenticated LFI to RCE
• Numero di siti interessati: 1,000+

JobBoardWP

• Vulnerabilità: Unauthenticated Arbitrary File Upload
• Numero di siti interessati: 1,000+

Checkout for PayPal

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 1,000+

JoomSport

• Vulnerabilità: Unauthenticated SQLi
• Numero di siti interessati: 2,000+

Flowplayer Video Player

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 2,000+

Pie Register

• Vulnerabilità: Unauthenticated Arbitrary User Deletion
• Numero di siti interessati: 4,000+

WP Stripe Checkout

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 4,000+

External Media

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: 7,000+

Videojs HTML5 Player

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 10,000+

Directorist

• Vulnerabilità: Subscriber+ Sensitive Information Disclosure
• Numero di siti interessati: 10,000+

wpForo Forum

• Vulnerabilità: Subscriber+ Forum Post Set as Private/Public via IDOR
• Numero di siti interessati: 20,000+

Jetpack CRM

• Vulnerabilità: Admin+ Cross-Site Scripting
• Numero di siti interessati: 30,000+

Easy Video Player

• Vulnerabilità: Contributor+ Stored XSS
• Numero di siti interessati: 40,000+

Dokan

• Vulnerabilità: Unauthenticated SQLi
• Numero di siti interessati: 60,000+

Permalink Manager Lite

• Vulnerabilità: Settings Update via CSRF
• Numero di siti interessati: 60,000+

User Registration

• Vulnerabilità: Subscriber+ Arbitrary File Upload
• Numero di siti interessati: 60,000+

Booster for WooCommerce

• Vulnerabilità: Custom Role Creation/Deletion via CSRF
• Numero di siti interessati: 70,000+

Livemesh Addons for Elementor

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: 90,000+

Crowdsignal Dashboard

• Vulnerabilità: Contributor+ Rating Settings Update
• Numero di siti interessati: 90,000+

Icegram Express

• Vulnerabilità: Subscriber+ SQLi
• Numero di siti interessati: 100,000+

Plugin for Google Reviews

• Vulnerabilità: Subscriber+ Widget Creation
• Numero di siti interessati: 100,000+

WordPress Popular Posts

• Vulnerabilità: Unauthenticated Views Manipulation
• Numero di siti interessati: 200,000+

SVG Support

• Vulnerabilità: Author+ Stored XSS
• Numero di siti interessati: 1,000,000+

All-In-One Security

• Vulnerabilità: IP Spoofing; Bulk Actions via CSRF
• Numero di siti interessati: 1,000,000+

Workreap – Freelance Marketplace and Directory

• Vulnerabilità: Subscriber+ Private Message Disclosure via IDOR
• Numero di siti interessati: N/A

PostmagThemes Demo

• Vulnerabilità: Admin+ Arbitrary File Upload
• Numero di siti interessati: N/A

Photospace Gallery

• Vulnerabilità: Subscriber+ Stored Cross-Site Scripting
• Numero di siti interessati: N/A

Clerk

• Vulnerabilità: Authentication Bypass and API Keys Disclosure
• Numero di siti interessati: N/A

3DPrint

• Vulnerabilità: Arbitrary File and Directory Deletion via CSRF
• Numero di siti interessati: N/A

Add Comments

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: N/A

Uji Countdown

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: N/A

WP Page Builder

• Vulnerabilità: Admin+ Stored Cross-Site
• Numero di siti interessati: N/A

Transposh WordPress Translation

• Vulnerabilità: Settings Update via Authorization Bypass
• Numero di siti interessati: N/A

Simple Video Embedder

• Vulnerabilità: Contributor+ Stored Cross-Site Scripting
• Numero di siti interessati: N/A

Follow Me Plugin

• Vulnerabilità: Stored XSS via CSRF
• Numero di siti interessati: N/A

Advanced WP Columns

• Vulnerabilità: Admin+ Stored Cross-Site Scripting
• Numero di siti interessati: N/A

Helloprint

• Vulnerabilità: Reflected Cross-Site Scripting
• Numero di siti interessati: N/A

WPUpper Share Buttonse

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: N/A

WP CSV Exporter

• Vulnerabilità: Admin+ SQLi
• Numero di siti interessati: N/A

Becustom

• Vulnerabilità: Settings Update via CSRF
• Numero di siti interessati: N/A

WordPress Countdown Widget

• Vulnerabilità: Affiliate Record Deletion via CSRF; Reflected Cross-Site Scripting; Admin+ Stored XSS
• Numero di siti interessati: N/A

Comic Book Management System

• Vulnerabilità: Admin+ SQLi
• Numero di siti interessati: 10+

Export customers list CSV for WooCommerce

• Vulnerabilità: CSV Injection
• Numero di siti interessati: 3,000+

WP OAuth Server

• Vulnerabilità: Admin+ Stored XSS; Client Secret Regeneration via CSRF
• Numero di siti interessati: 4,000+

Salon Booking System

• Vulnerabilità: Reflected Cross-Site Scripting
• Numero di siti interessati: 8,000+

Seed Social

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: 10,000+

Theme-Demo-Importer

• Vulnerabilità: Admin+ Arbitrary File Upload
• Numero di siti interessati: 10,000+

Form Vibes

• Vulnerabilità: Admin+ SQLi
• Numero di siti interessati: 20,000+

TeraWallet – For WooCommerce

• Vulnerabilità: Subscriber+ Arbitrary Wallet Lock/Unlock via IDOR
• Numero di siti interessati: 20,000+

Advanced Import

• Vulnerabilità: Arbitrary Plugin Installation & Activation via CSRF
• Numero di siti interessati: 70,000+

Blog2Social

• Vulnerabilità: Subscriber+ Settings Update
• Numero di siti interessati: 70,000+

Feed Them Social

• Vulnerabilità: Subscriber+ Stored XSS; Settings Update via CSRF
• Numero di siti interessati: 70,000+

Chaty

• Vulnerabilità: Admin+ SQLi
• Numero di siti interessati: 100,000+

Broken Link Checker

• Vulnerabilità: Admin+ Cross-Site Scripting
• Numero di siti interessati: 700,000+

Ask Me

• Vulnerabilità: Post Deletion via CSRF
• Numero di siti interessati: N/A

WP Best Quiz

• Vulnerabilità: Author+ Stored XSS
• Numero di siti interessati: N/A

Grid Kit Premium

• Vulnerabilità: Admin+ Stored Cross-Site Scripting 
• Numero di siti interessati: N/A

DeepL Pro API Translation

• Vulnerabilità: API Key Disclosure
• Numero di siti interessati: N/A

Booster for WooCommerce Premium

• Vulnerabilità: Checkout Files Deletion via CSRF; ShopManager+ Arbitrary File Download
• Numero di siti interessati: N/A

My wpdb

• Vulnerabilità: Arbitrary SQL Query via CSRF
• Numero di siti interessati: 10+

Event Monster

• Vulnerabilità: Admin+ SQLi; Visitors Deletion via CSRF
• Numero di siti interessati: 1,000+

Testimonials

• Vulnerabilità: Admin+ Stored Cross-Site Scripting
• Numero di siti interessati: 5,000+

ProfileGrid

• Vulnerabilità: Subscriber+ Private Message Read/Edition
• Numero di siti interessati: 8,000+

Restaurant Menu

• Vulnerabilità: Unauthorized AJAX Calls; Multiple CSRF
• Numero di siti interessati: 10,000+

WP User Frontend

• Vulnerabilità: Obscure Registration as Admin
• Numero di siti interessati: 30,000+

Spacer

• Vulnerabilità: Admin+ Stored XSS
• Numero di siti interessati: 40,000+

Booster for WooCommerce Free

• Vulnerabilità: Checkout Files Deletion via CSRF; ShopManager+ Arbitrary File Download 
• Numero di siti interessati: 70,000+

WP-Polls

• Vulnerabilità: IP Validation Bypass
• Numero di siti interessati: 80,000+

Web Stories

• Vulnerabilità: Subscriber+ Server Side Request Forgery
• Numero di siti interessati: 90,000+

Ultimate Member

• Vulnerabilità: Contributor+ LFI via Traversal; Admin+ RCE; Subscriber+ RCE; Admin+ LFI via Traversal
• Numero di siti interessati: 200,000+

Contact Form 7 Database Addon

• Vulnerabilità: CSV Injection
• Numero di siti interessati: 500.000+

Popup Maker

• Vulnerabilità: Admin+ Stored Cross Site Scripting
• Numero di siti interessati:700.000+

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.