
Il 20 giugno 2026 è stata resa nota una grave vulnerabilità su WooCommerce (CVE‑2022‑50972), che permette a chiunque di controllare un sito e‑commerce senza alcuna autenticazione. Questa falla, presente fino alla versione 7.1.0, è classificata con punteggio di gravità 9.8/10 e al momento non ha ancora una patch ufficiale.
Cosa è successo
- Il 20 giugno 2026 è stata pubblicata la vulnerabilità CVE‑2022‑50972 nel plugin WooCommerce versione 7.1.0, che consente l’esecuzione remota di codice (Remote Code Execution – RCE)
- Il difetto riguarda il parametro
product-typegestito nel fileclass-wc-meta-box-product-images.php: input non filtrato può essere usato per iniettare comandi shell e caricare file PHP malevoli nella directory principale del sito ([nvd.nist.gov](https://nvd.nist.gov/vuln/detail/CVE-2022-50972?utm_source=openai)) - Il punteggio CVSS è di 9.8, indicativo di massima gravità: l’exploit è possibile senza autenticazione, privilegi o azione dell’utente ([wpguy.uk](https://wpguy.uk/blog/critical-vulnerability-in-woocommerce-woocommerce-woocommerce-710-unfixed/?utm_source=openai))
- Al momento della pubblicazione non esiste una versione patchata o un aggiornamento disponibile ([wpguy.uk](https://wpguy.uk/blog/critical-vulnerability-in-woocommerce-woocommerce-woocommerce-710-unfixed/?utm_source=openai))
Perché è importante
Per le PMI italiane o i professionisti con un e‑commerce, la falla rappresenta un rischio concreto:
- Un attaccante può prendere il controllo completo del sito: accedere a dati clienti, ordini, dettagli di pagamento, modificare contenuti o cancellare il database ([wpguy.uk](https://wpguy.uk/blog/critical-vulnerability-in-woocommerce-woocommerce-woocommerce-710-unfixed/?utm_source=openai))
- Le installazioni non aggiornate diventano bersagli automatici poco dopo la notifica pubblica — spesso nell’arco di poche ore ([wpguy.uk](https://wpguy.uk/blog/critical-vulnerability-in-woocommerce-woocommerce-woocommerce-710-unfixed/?utm_source=openai))
- Una violazione espone a sanzioni legate alla protezione dei dati (GDPR) e danneggia gravemente la reputazione aziendale
Cosa fare adesso
- Verifica immediatamente la versione di WooCommerce installata: se è inferiore a 7.1.0, considerala vulnerabile
- Disabilita temporaneamente WooCommerce fino a quando non sarà disponibile una patch ufficiale o una versione aggiornata
- Riduci la quantità di dati personali conservati nel sito — soprattutto informazioni sensibili — per limitarne l’esposizione in caso di violazione
- Monitora costantemente i canali ufficiali WooCommerce, WPVulnerability e changelog del plugin per aggiornamenti rapidi
- Valuta una protezione temporanea con un WAF (Web Application Firewall) che blocchi richieste sospette verso il parametro
product-type
Come ti aiuta Evo Sistemi
Da Evo Sistemi possiamo supportarti con servizi concreti per ridurre il rischio e mettere in sicurezza il tuo sito:
- Servizio di realizzazione e-commerce robusto, sempre aggiornato e protetto
- Supporto su SEO e posizionamento per mantenere visibilità anche in situazioni d’emergenza
- Interventi di sicurezza informatica: analisi, WAF, audit e risposta immediata alle minacce
Per una consulenza mirata o un intervento urgentesi contatta il nostro team – mettiamo in sicurezza il tuo e‑commerce prima che sia troppo tardi.
Domande frequenti
Chiunque può sfruttare questa vulnerabilità?
Sì, l’exploit non richiede autenticazione né privilegi, basta inviare la richiesta manipolata al parametro product-type.
Esiste già un aggiornamento che risolve il problema?
No, al 30 giugno 2026 non è disponibile alcuna versione correttiva: è necessario monitorare i canali ufficiali.
Come posso proteggere il mio sito finché non esce il fix?
Consigliamo di disabilitare temporaneamente WooCommerce o usare un WAF per filtrare le richieste sospette, e ridurre i dati sensibili conservati nel sito.
Fonte: The WordPress Guy (blog).