← Torna al Blog
Security Briefing 10 min di lettura

Vulnerabilità critiche nei plugin WordPress espongono milioni di siti — Cosa devono fare ora le aziende conformi a NIS2

Molteplici vulnerabilità critiche nei plugin WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) espongono oltre 8 milioni di siti web all'esecuzione di codice remoto. Le aziende regolamentate NIS2 affrontano la segnalazione obbligatoria entro 24 ore — ecco il vostro piano d'azione.


Tre vulnerabilità critiche nei plugin WordPress scoperte

CVE-2026-1743 — WP Advanced Forms: RCE non autenticata (CVSS 9.8)

Una vulnerabilità critica di esecuzione di codice remoto non autenticata in WP Advanced Forms (versioni < 3.4.2) consente l'esecuzione di codice PHP arbitrario. Oltre 3 milioni di installazioni attive interessate.

CVE-2026-1891 — ElementorPro Widgets: SQL Injection (CVSS 9.1)

Una falla di SQL injection in ElementorPro Widgets (versioni < 4.1.7) consente l'estrazione completa del database. 2,8 milioni di siti a rischio.

CVE-2026-2034 — WooCommerce Payments: Bypass autenticazione (CVSS 9.4)

Un bypass di autenticazione in WooCommerce Payments Gateway (versioni < 6.9.3) consente l'escalation ai privilegi di amministratore. 2,5 milioni di negozi e-commerce potenzialmente compromessi.


Valutazione dell'impatto

CVEPluginCVSSInstallazioni attiveVersione corretta
CVE-2026-1743WP Advanced Forms9.83,1M3.4.2
CVE-2026-1891ElementorPro Widgets9.12,8M4.1.7
CVE-2026-2034WooCommerce Payments9.42,5M6.9.3

Complessivamente, queste vulnerabilità interessano oltre 8 milioni di installazioni WordPress nel mondo.


Implicazioni di conformità NIS2

Ai sensi della Direttiva NIS2 dell'UE (Direttiva 2022/2555), le organizzazioni classificate come entità essenziali o importanti affrontano obblighi rigorosi:

Preallarme di 24 ore

L'Articolo 23 della NIS2 richiede un preallarme entro 24 ore.

Notifica di incidente di 72 ore

Una notifica completa dell'incidente deve essere presentata al CSIRT nazionale entro 72 ore.

Sanzioni e penalità


Piano d'azione immediato

Passo 1: Identificare gli asset interessati (0–2 ore)

Passo 2: Applicare le patch immediatamente (2–4 ore)

Passo 3: Indagare sulla compromissione (4–12 ore)

Passo 4: Segnalazione NIS2 (se compromesso)

Proteggi la tua organizzazione con KENSAI

Ricevi avvisi di vulnerabilità in tempo reale, monitoraggio della conformità NIS2 e briefing di sicurezza quotidiani.

Inizia la prova gratuita →

Restate vigili. — Il team di sicurezza KENSAI