Molteplici vulnerabilità critiche nei plugin WordPress (CVE-2026-1743, CVE-2026-1891, CVE-2026-2034) espongono oltre 8 milioni di siti web all'esecuzione di codice remoto. Le aziende regolamentate NIS2 affrontano la segnalazione obbligatoria entro 24 ore — ecco il vostro piano d'azione.
Una vulnerabilità critica di esecuzione di codice remoto non autenticata in WP Advanced Forms (versioni < 3.4.2) consente l'esecuzione di codice PHP arbitrario. Oltre 3 milioni di installazioni attive interessate.
Una falla di SQL injection in ElementorPro Widgets (versioni < 4.1.7) consente l'estrazione completa del database. 2,8 milioni di siti a rischio.
Un bypass di autenticazione in WooCommerce Payments Gateway (versioni < 6.9.3) consente l'escalation ai privilegi di amministratore. 2,5 milioni di negozi e-commerce potenzialmente compromessi.
| CVE | Plugin | CVSS | Installazioni attive | Versione corretta |
|---|---|---|---|---|
| CVE-2026-1743 | WP Advanced Forms | 9.8 | 3,1M | 3.4.2 |
| CVE-2026-1891 | ElementorPro Widgets | 9.1 | 2,8M | 4.1.7 |
| CVE-2026-2034 | WooCommerce Payments | 9.4 | 2,5M | 6.9.3 |
Complessivamente, queste vulnerabilità interessano oltre 8 milioni di installazioni WordPress nel mondo.
Ai sensi della Direttiva NIS2 dell'UE (Direttiva 2022/2555), le organizzazioni classificate come entità essenziali o importanti affrontano obblighi rigorosi:
L'Articolo 23 della NIS2 richiede un preallarme entro 24 ore.
Una notifica completa dell'incidente deve essere presentata al CSIRT nazionale entro 72 ore.
wp plugin list --status=active su tutte le istanzeRicevi avvisi di vulnerabilità in tempo reale, monitoraggio della conformità NIS2 e briefing di sicurezza quotidiani.
Inizia la prova gratuita →Restate vigili. — Il team di sicurezza KENSAI