Vulnerabilità di WordPress Ocean Extra: a rischio fino a 600.000 siti web

# Vulnerabilità in WordPress: Ocean Extra Colpisce Fino a 600.000 Siti Recentemente è stata emessa un’avviso riguardante il plugin Ocean Extra per WordPress, vulnerabile a una forma di attacco nota come “stored cross-site scripting” (XSS). Questa vulnerabilità consente agli attaccanti di caricare script dannosi che vengono eseguiti sul sito quando un utente lo visita. ## […]

admin admin
Aug 30, 2025 - 20:30
0 3

# Vulnerabilità in WordPress: Ocean Extra Colpisce Fino a 600.000 Siti

Recentemente è stata emessa un’avviso riguardante il plugin Ocean Extra per WordPress, vulnerabile a una forma di attacco nota come “stored cross-site scripting” (XSS). Questa vulnerabilità consente agli attaccanti di caricare script dannosi che vengono eseguiti sul sito quando un utente lo visita.

## Plugin Ocean Extra di OceanWP

La vulnerabilità riguarda esclusivamente il plugin Ocean Extra sviluppato da OceanWP, un’estensione del popolare tema WordPress OceanWP. Questo plugin aggiunge funzionalità al tema, come la possibilità di ospitare font localmente, widget aggiuntivi e opzioni di navigazione ampliate.

Secondo un avviso di **Wordfence**, la vulnerabilità è dovuta a una mancata sanitizzazione dell’input e a un’uscita non protetta.

### Sanitizzazione dell’Input

La sanitizzazione dell’input è il processo di filtraggio di ciò che viene immesso in WordPress, ad esempio in moduli o campi dove gli utenti possono inserire dati. L’obiettivo è rimuovere tipi di input imprevisti, come script dannosi. In questo caso, il plugin presenta delle lacune in questo aspetto.

### Uscita Non Protetta

L’uscita non protetta è un processo di sicurezza che garantisce che ciò che viene visualizzato sul sito WordPress sia sicuro. Questo significa che l’uscita non deve contenere caratteri che un browser possa interpretare come codice eseguibile. La mancanza di questa protezione contribuisce alla vulnerabilità del plugin Ocean Extra.

Combinando la mancata sanitizzazione dell’input e la scarsa protezione dell’uscita, gli attaccanti possono caricare e far eseguire script dannosi sui siti WordPress vulnerabili.

## Utenti Invitati ad Aggiornare il Plugin

La vulnerabilità colpisce solo gli utenti autenticati con privilegi di livello contributor o superiore, riducendo in parte il livello di minaccia. Essa interessa tutte le versioni fino alla 2.4.9. Gli utenti sono quindi fortemente invitati a aggiornare il loro plugin all’ultima versione disponibile, attualmente la 2.5.0.

È fondamentale per tutti i proprietari di siti WordPress controllare e aggiornare i propri plugin regolarmente per prevenire potenziali attacchi e garantire la sicurezza del proprio sito.

*Immagine in evidenza di Shutterstock/Nithid*