Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre 2022

Sei proprietario di un sito WordPress? Sicuramente ti interesserà sapere che ogni mese vengono riscontrati numerosi bug di sicurezza che coinvolgono i principali plugin di WordPress. 

Di seguito riportiamo la panoramica segnalata da Ithemes di alcuni dei Plugin vulnerabili noti nel mese di Ottobre.

Vulnerabilità WordPress: Aggiornamento del Mese di Ottobre 2022

WPQA

  • Vulnerabilità: Follow/Unfollow via CSRF
  • Numero di siti interessati: N/A

tagDiv Composer

  • Vulnerabilità: Unauthenticated Account Takeover
  • Numero di siti interessati: N/A

Testimonials Pro

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: N/A

WPForms Pro

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: N/A

Chat Bubble

  • Vulnerabilità: Unauthenticated Stored Cross-Site Scripting
  • Numero di siti interessati: 1,000+

WP Attachments

Vulnerabilità: Admin+ Stored Cross-Site Scripting

Numero di siti interessati: 5,000+

Testimonials Free

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: 5,000+

ProfileGrid

  • Vulnerabilità: Reflected Cross-Site Scripting
  • Numero di siti interessati: 8,000+

Contact Form Entries

  • Vulnerabilità: CSV Injection
  • Numero di siti interessati: 50,000+

ImageMagick-Engine

  • Vulnerabilità: Command Injection via CSRF
  • Numero di siti interessati: 60,000+

reSmush.it Image Optimizer

  • Vulnerabilità: Subscriber+ AJAX Calls; Multiple CSRF
  • Numero di siti interessati: 200,000+

WooCommerce Dropshipping

  • Vulnerabilità: Unauthenticated SQLi
  • Numero di siti interessati: N/A

Complianz – Premium

  • Vulnerabilità: Translator SQLi
  • Numero di siti interessati: N/A

AliExpress Dropshipping and Fulfilment for WooCommerce

  • Vulnerabilità: Unauthenticated Sensitive Data Exposure
  • Numero di siti interessati: N/A

Product Stock Manager

  • Vulnerabilità: Subscriber+ Unauthorised AJAX Calls
  • Numero di siti interessati: N/A

Role Based Pricing for WooCommerce

  • Vulnerabilità: Subscriber+ Arbitrary File Upload; Subscriber+ PHAR Deserialization
  • Numero di siti interessati: N/A

Chat Bubble

  • Vulnerabilità: Unauthenticated Stored Cross-Site Scripting
  • Numero di siti interessati: 1,000+

WP Attachments

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: 5,000+

eCommerce Product Catalog Plugin for WordPress

  • Vulnerabilità: Reflected XSS; Reflected XSS via AJAX
  • Numero di siti interessati: 10,000+

Easy Digital Downloads

  • Vulnerabilità: Easy Digital Downloads
  • Numero di siti interessati: 50,000+

Import and export users and customers

  • Vulnerabilità: Subscriber+ CSV Injection
  • Numero di siti interessati: 70,000+

WP All Import

  • Vulnerabilità: Admin+ Directory traversal via file upload; Admin+ Arbitrary File Upload to RCE
  • Numero di siti interessati: 100,000+

FluentForm

  • Vulnerabilità: CSV Injection
  • Numero di siti interessati: 200,000+

Gutenberg

  • Vulnerabilità: Multiple Stored XSS
  • Numero di siti interessati: 300,000+

Complianz – Free

  • Vulnerabilità: Translator SQLi
  • Numero di siti interessati: 400,000+

Retain Live Chat

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: N/A

Forym

  • Vulnerabilità: Reflected Cross-Site Scripting
  • Numero di siti interessati: N/A

WP Humans.txt

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: N/A

Post to CSV by BestWebSoft

  • Vulnerabilità: Author+ CSV Injection
  • Numero di siti interessati: N/A

LBStopAttack

  • Vulnerabilità: Arbitrary Settings Update via CSRF
  • Numero di siti interessati: N/A

Contact Bank

  • Vulnerabilità: Admin+ Stored Cross-Site Scripting
  • Numero di siti interessati: N/A

Booking Ultra Pro

  • Vulnerabilità: Multiple CSRF; Stored Cross-Site Scripting via CSRF
  • Numero di siti interessati: 1,000+

AdminPad

  • Vulnerabilità: Subscriber+ CSV Injection
  • Numero di siti interessati: 70,000+

Quiz And Survey Master

  • Vulnerabilità: Quiz Update via IDOR
  • Numero di siti interessati: 40,000+

Blog2Social

  • Vulnerabilità: Subscriber+ SQLi; Subscriber+ SSRF
  • Numero di siti interessati: 70,000+

Manage Notification E-mails

  • Vulnerabilità: Settings Reset via CSRF
  • Numero di siti interessati: 80,000+

Form Maker by 10Web

  • Vulnerabilità: Admin+ SQLI
  • Numero di siti interessati: 80,000+

Anti-Spam by CleanTalk

  • Vulnerabilità: Admin+ SQLI
  • Numero di siti interessati: 100,000+

Kadence WooCommerce Email Designer

  • Vulnerabilità: Admin+ PHP Objection Injection
  • Numero di siti interessati: 100,000+

WP Super Cache

  • Vulnerabilità: Unauthenticated Cache Poisoning
  • Numero di siti interessati: 2,000,000+

Realizzare un sito web in massima sicurezza

Ogni mese vengono riscontrate nuove vulnerabilità dei plugin che mettono a rischio la sicurezza di numerosi siti web WordPress. 

Per la realizzazione di un sito web assicurati di utilizzare le piattaforme e hosting più performanti e costantemente aggiornate, attenti a tutti gli aspetti legati alla sicurezza web.

Valutare soluzioni per lo sviluppo di un sito web estremamente sicure significa anche ottimizzare l’investimento per la presenza online della tua azienda in termini di budget e risorse.

Vuoi sapere di più? Contatta la nostra agenzia web senza impegno.

Rimani aggiornato! Ogni mese pubblicheremo tutte le vulnerabilità riconosciute.

Vulnerabilità WordPress: Aggiornamento del Mese di Settembre 2022
Vulnerabilità WordPress: Aggiornamento del Mese di Novembre 2022

Pronto a trasformare la tua presenza online?