Riepilogo tecnico e aggiornato delle principali vulnerabilità e novità di WordPress per il mese di aprile 2025, con focus su sicurezza, aggiornamenti core, plugin e temi. Tutte le informazioni sono tratte da fonti (citate) ufficiali e affidabili del settore.
Indice dei Contenuti
Statistiche delle “vulnerabilità” mensili per WP
- Totale vulnerabilità divulgate: 241 (222 plugin, 19 temi)
- Vulnerabilità critiche (CVSS ≥ 9.0): 10+
- Vulnerabilità senza patch: 150+
Vulnerabilità Plugin WP
OttoKit (ex SureTriggers) – CVE-2025-27007 & CVE-2025-3102
- Tipo: Escalation privilegi / Bypass autenticazione
- Descrizione: Permette la creazione di account admin non autenticati sfruttando un controllo insufficiente nella funzione create_wp_connection() e una cattiva gestione dell’autenticazione tramite “application password”.
- Impatto: Accesso completo al sito, creazione di utenti amministratori.
- Patch: Disponibile dalla versione 1.0.83.
- Fonte: The Hacker News
- Aggiornamento del 14 luglio 2025.
WP RealEstate – CVE-2025-2237
- Tipo: Bypass autenticazione
- Descrizione: La funzione process_register consente la registrazione di utenti con privilegi di amministratore senza autenticazione.
- CVSS: 9.8 (Critico)
- Fonte: blog.quttera.com
Front End Users – CVE-2025-2005
- Tipo: Arbitrary File Upload
- Descrizione: Mancanza di validazione dei file caricati nel modulo di registrazione, permettendo l’upload di file PHP malevoli.
- Fonte: blog.quttera.com
Woffice Core – CVE-2025-2780
- Tipo: File Upload autenticato
- Descrizione: Utenti con ruolo di “Subscriber” possono caricare file malevoli, potenzialmente eseguendo codice sul server.
- Fonte: blog.quttera.com
WooCommerce Drag and Drop Upload – CVE-2025-2941
- Tipo: Arbitrary File Move
- Descrizione: Permette lo spostamento di file sensibili come wp-config.php, compromettendo l’intero sistema.
- Fonte: blog.quttera.com
InstaWP Connect – CVE-2025-2636
- Tipo: Local File Inclusion
- Descrizione: Consente l’accesso o l’esecuzione di file sul server, portando a disclosure di informazioni o esecuzione di codice remoto.
- Fonte: blog.quttera.com
Everest Forms – CVE-2025-3439
- Tipo: PHP Object Injection
- Descrizione: Permette l’iniezione di oggetti PHP malevoli, potenzialmente eseguendo codice arbitrario.
- Fonte: blog.quttera.com
UrbanGo Membership – CVE-2025-3278
- Tipo: Arbitrary File Upload
- Descrizione: Assenza di validazione MIME nei file caricati, consentendo l’upload di file eseguibili.
- Fonte: blog.quttera.com
Novità WordPress Core – Versione 6.8
- Rilascio: 15 aprile 2025
- Nome in codice: “Cecil”
- Novità principali:
- Speculative loading per navigazione più veloce
- Aggiornamenti significativi all’editor
- Miglioramenti nell’accessibilità
- Adozione di bcrypt per l’hashing delle password
WordPress: plugin e temi – vulnerabilità rilevanti
Plugin WP
- SureTriggers: Vulnerabilità critica sfruttata entro 4 ore dalla divulgazione, permettendo la creazione di account admin non autenticati.
- Order Delivery Date for WP e-Commerce: Vulnerabilità che consente l’aggiornamento arbitrario di opzioni senza autenticazione.
- Fonte: Patchstack
Temi WP
- NewsCrunch, VW Storefront, Bricks Builder, Enfold: Segnalate per vulnerabilità gravi; si raccomanda l’aggiornamento o la sostituzione.
- Fonte: Medium
WordPress: phishing e minacce avanzate
- Campagna di phishing su WooCommerce: Email fraudolente con finti aggiornamenti di sicurezza hanno indotto gli utenti a installare plugin malevoli, compromettendo i siti.
Raccomandazioni per la Sicurezza
- Aggiornamenti: Mantieni WordPress, plugin e temi sempre aggiornati.
- Audit: Verifica regolarmente la sicurezza dei plugin e temi installati.
- Firewall: Implementa un Web Application Firewall (WAF) affidabile.
- Backup: Esegui backup regolari e verifica la possibilità di ripristino.
- Monitoraggio: Utilizza strumenti come Wordfence, Patchstack o SolidWP per monitorare vulnerabilità.
Per ulteriori dettagli sulla gestione della sicurezza del tuo sito WordPress, ti suggeriamo di verificare le fonti citate.
Aggiornamento del 14 luglio 2025
Salve, team Web Napoli Agency
ci siamo imbattuti nel vostro articolo sul plugin OttoKit CVE-2025-27007 e volevamo fornirvi un importante aggiornamento ufficiale. C’è stata una certa confusione pubblica riguardo al fatto che la vulnerabilità fosse stata attivamente sfruttata, quindi abbiamo pubblicato un rapporto completo sulla trasparenza a cura del nostro CEO.
Comunque vogliamo mettere in evidenza che:
- nessun sito è stato compromesso – non abbiamo trovato alcun exploit reale;
- il problema ci è stato segnalato da Patchstack e lo abbiamo corretto con la versione 1.0.83;
- WordPress.org ha forzato l’aggiornamento automatico su tutti gli utenti per una rapida risoluzione;
- entrambi i CVE (27007 e 3102) presentavano condizioni specifiche, rendendo improbabile l’impatto sulla platea dei siti web utilizzanti il plugin.
Infine, ci teniamo a chiarire che non ci sono prove di sfruttamento reale relative a CVE-2025-27007 o CVE-2025-3102. Il problema è stato segnalato in modo responsabile, risolto in poche ore e gli utenti hanno ricevuto un aggiornamento forzato alla versione 1.0.83. È possibile leggere la dichiarazione ufficiale e completa del nostro CEO qui.
Fateci sapere se avete bisogno di ulteriori dettagli. e grazie per tenere informata la community con segnalazioni accurate.
Cordiali saluti,
Team di sicurezza di OttoKit
OttoKit (di Brainstorm Force)
Alessandro Di Somma
Alessandro Di Somma è il referente di Web Napoli Agency, specializzata nella realizzazione e nel restyling di siti web a Napoli e provincia.
Sviluppa siti web professionali in ambiente WordPress, curando design, performance, sicurezza, SEO on-page e marketing SEO. Appassionato blogger, scrive di tecnologia, web design e marketing online, condividendo best practice e trend del settore.
