Wordfence ha pubblicato il suo report settimanale sulle vulnerabilità di WordPress, segnalando 64 nuove falle di sicurezza in 59 plugin e 3 temi attivi. Tra queste, ben 27 risultano ancora prive di patch, mentre 37 sono già state corrette. La situazione è allarmante soprattutto per la presenza di 7 vulnerabilità classificate come critiche, con un punteggio CVSS pari a 9.8.
Le vulnerabilità più gravi della settimana
Tra le falle critiche più significative figurano:
CVE-2025-48336: vulnerabilità di PHP Object Injection nel tema Course Builder (versioni < 3.6.6), che consente esecuzione di codice da remoto da parte di attori non autenticati. Fortunatamente è stata già corretta.
CVE-2025-4631 e CVE-2025-4607: due gravi escalation di privilegi nei plugin Profitori e PSW Front-end Login & Registration, entrambe ancora non patchate, che consentono a utenti non autenticati di ottenere privilegi elevati attraverso endpoint o funzioni vulnerabili.
CVE-2025-32291: nel plugin SUMO Affiliates Pro, un attaccante non autenticato può caricare file arbitrari e ottenere il pieno controllo del sito. Anche in questo caso, la vulnerabilità resta non corretta.
CVE-2025-48330: vulnerabilità Local File Inclusion non autenticata nel plugin Real Time Validation for Gravity Forms, tuttora non risolta.
Analisi complessiva delle vulnerabilità
Durante la settimana sono state individuate:
- 43 vulnerabilità di gravità media
- 14 di gravità alta
- 7 di gravità critica
Il tipo di vulnerabilità più comune resta il Cross-site Scripting (XSS), con 29 casi, seguito da mancanza di autorizzazioni, SQL injection, CSRF e altri difetti di validazione.
I plugin e i temi più a rischio
Sono numerosi i plugin WordPress noti coinvolti, tra cui:
- MasterStudy LMS Pro
- Element Pack Addons for Elementor
- Easy Digital Downloads
- Relevanssi
- WP Pipes
- Blog Designer PRO
- WP Guppy
- Apptha Slider Gallery
- NinjaTeam Chat for Telegram
- Wishlist
- Offsprout Page Builder
Anche tre temi WordPress sono finiti nel mirino degli analisti:
- Course Builder
- Solar Energy
- The Fashion
Ricercatori e difese attivate
Ben 39 ricercatori di sicurezza hanno contribuito al report settimanale, con Peter Thaleikis e kr0d tra i più attivi. Wordfence ha rilasciato nuove regole firewall WAF-RULE-841, 842 e 843, attualmente in distribuzione per gli utenti Premium, Care e Response. Gli utenti della versione gratuita riceveranno l’aggiornamento dopo un ritardo di 30 giorni.
Come proteggersi
Wordfence incoraggia l’uso del suo CLI Vulnerability Scanner e della vulnerability API gratuita, utile per chi gestisce più siti o lavora nel settore dell’hosting. Gli amministratori possono anche iscriversi alla newsletter settimanale per ricevere avvisi tempestivi.
Conclusioni
Il report conferma che la superficie di attacco di WordPress resta estesa e dinamica, e che i plugin e i temi rappresentano un punto debole critico. L’adozione di strumenti proattivi di scansione, l’aggiornamento costante e una politica di sicurezza multilivello non sono più opzionali, ma una necessità.
Se gestisci uno o più siti WordPress, è consigliabile verificare immediatamente se uno dei plugin o temi installati è tra quelli elencati. La tempestività in questi casi è determinante per evitare compromissioni e attacchi mirati.
