Sicurezza del gestore di font di WordPress contro SQL Injection//Pubblicato il 2026-03-23//CVE-2026-1800

TEAM DI SICUREZZA WP-FIREWALL

Fonts Manager Custom Fonts CVE-2026-1800

Nome del plugin Gestore di Font | Font Personalizzati
Tipo di vulnerabilità Iniezione SQL
Numero CVE CVE-2026-1800
Urgenza Alto
Data di pubblicazione CVE 2026-03-23
URL di origine CVE-2026-1800

Urgente: SQL Injection in “Gestore di Font | Font Personalizzati” (<= 1.2) — Cosa devono fare ora i proprietari di siti WordPress

Pubblicato: 23 mar, 2026
Gravità: Alto — CVSS 9.3 (CVE-2026-1800)
Versioni interessate: versioni del plugin <= 1.2
Privilegi richiesti: Non autenticato (qualsiasi visitatore)

Come team di sicurezza di WordPress che gestisce un Firewall per Applicazioni Web (WAF) professionale e un servizio di risposta agli incidenti, noi di WP‑Firewall stiamo emettendo un avviso dettagliato e pratico per i proprietari e gli amministratori dei siti. È stata divulgata una vulnerabilità di SQL injection ad alta gravità nel plugin Gestore di Font | Font Personalizzati (versioni fino e comprese 1.2). La vulnerabilità può essere attivata da richieste non autenticate tramite il fmcfIdSelectedFnt parametro e consente agli attaccanti di interagire direttamente con il database.

Questo post spiega cosa significa questa vulnerabilità, come può essere rilevata, passi pratici per mitigare e rimediare, cosa fare se sospetti una compromissione e come WP‑Firewall protegge il tuo sito — incluso un piano Base senza costi che puoi attivare immediatamente.

Riepilogo esecutivo (cosa devi sapere subito)

  • Il plugin contiene un vettore di SQL injection non autenticato tramite il parametro HTTP fmcfIdSelectedFnt.
  • Un attaccante non autenticato può iniettare SQL in una query che interagisce con il database di WordPress.
  • L'impatto include divulgazione di dati, modifica dei dati, compromissione dell'account utente e takeover completo del sito a seconda di altre configurazioni del sito.
  • Non è disponibile alcuna patch fornita dal fornitore al momento della pubblicazione per versioni <= 1.2. È necessaria una mitigazione immediata.
  • Se utilizzi questo plugin: rimuovilo, disabilitalo o applica patch virtuali (regola WAF) fino a quando non sarà disponibile una patch ufficiale.
  • Gli utenti di WP‑Firewall possono attivare immediatamente una regola di mitigazione per bloccare i tentativi di sfruttamento mentre decidi sulla rimediabilità.

Cos'è questa vulnerabilità? Panoramica tecnica

Questa vulnerabilità è un SQL injection (SQLi) che può essere sfruttata senza autenticazione. L'input vulnerabile è un parametro chiamato fmcfIdSelectedFnt che viene elaborato dal plugin e incorporato in un'istruzione SQL senza adeguata validazione dell'input o parametrizzazione.

Perché è importante:

  • L'SQL injection consente agli attaccanti di manipolare il motore di query del database. A seconda del contesto della query, gli attaccanti potrebbero essere in grado di leggere righe arbitrarie del database, modificare o eliminare dati, creare account amministrativi o eseguire azioni che portano a una compromissione completa del sito.
  • Non autenticato significa che l'attaccante non ha bisogno di essere un utente WordPress connesso — può essere un nuovo visitatore da internet.
  • Il punteggio CVSS descritto di 9.3 riflette la criticità dell'SQLi non autenticato sulle app web.

Note tecniche (alto livello):

  • La superficie di attacco è un parametro HTTP passato a un endpoint del plugin (GET o POST).
  • Il plugin non riesce a sanificare o utilizzare query parametrizzate per il valore fornito.
  • Un input malevolo può alterare la logica della query SQL prevista.

Evitiamo intenzionalmente di condividere payload di exploit o stringhe di query in questo avviso perché possono essere utilizzati per automazione malevola. L'attenzione qui è sulla rilevazione, mitigazione e gestione sicura.

Come un attaccante può sfruttarlo — scenari di attacco realistici

Comprendere gli scenari di attacco aiuta a dare priorità alla risposta:

  1. Furto di dati su larga scala
    • Gli attaccanti possono leggere i contenuti di utenti wp, wp_usermeta, o tabelle personalizzate a seconda del contesto della query.
    • Gli hash degli utenti rubati possono essere forzati offline o utilizzati per passare ad altri sistemi dove le credenziali sono state riutilizzate.
  2. Escalation dei privilegi / creazione di account
    • In molti casi di SQLi, gli attaccanti possono iniettare dati per creare un nuovo record amministratore in utenti wp, quindi impostare le voci meta necessarie in wp_usermeta. Questo porta a un takeover diretto del sito.
  3. Modifica del sito / deturpazione / persistenza
    • L'SQLi può essere utilizzato per modificare opzioni, inserire post malevoli o alterare impostazioni di plugin/temi che a loro volta possono essere utilizzati per installare backdoor.
  4. Sfruttamento di massa
    • Poiché questo è non autenticato e un plugin comune, gli attaccanti spesso costruiscono scanner automatizzati che testano molti siti WordPress e tentano di sfruttarli in massa.

Date le informazioni sopra, trattate qualsiasi sito attivo con il plugin come alta priorità per una mitigazione immediata.

Rilevamento — cosa cercare nei registri e nel comportamento

Se gestisci uno stack di hosting o un prodotto di sicurezza, fai attenzione ai seguenti modelli. Questi sono suggerimenti per il rilevamento, non firme di exploit.

  • Richieste inaspettate agli endpoint dei plugin dove fmcfIdSelectedFnt è presente:
    • Esempio di modello di registro: richieste con parametro fmcfIdSelectedFnt contenente caratteri insoliti (spazi, virgolette, marcatori di commento, parole riservate SQL).
  • Risposte 400/500 ripetute allo stesso URL dallo stesso IP remoto o da più IP a bassa fiducia (comportamento di scansione).
  • Richieste POST/GET rapide con valori diversi per fmcfIdSelectedFnt (tentativi di probing).
  • Errori di database nei tuoi registri PHP/WordPress che fanno riferimento a errori di sintassi SQL dopo che gli endpoint dei plugin sono stati accessibili.
  • Utenti admin inaspettati, nuovi post o modifiche alle opzioni poco dopo richieste sospette.
  • Connessioni in uscita o attività pianificate che non hai creato.

Esempi di impronte digitali di registri di rilevamento (sanitizzati, per il matching dei modelli):

[access-log] 192.0.2.123 - - [23/Mar/2026:10:04:12 +0000] "GET /wp-admin/admin-ajax.php?action=fmcf_action&fmcfIdSelectedFnt=... HTTP/1.1" 200 512 "-" "Mozilla/5.0"

Imposta avvisi di monitoraggio per:

  • Modelli di errore che includono “sintassi SQL” o “mysql_fetch” dopo che gli endpoint dei plugin sono stati colpiti.
  • Eventi di creazione di nuovi utenti amministrativi in utenti wp da parte di qualsiasi attore non admin o in orari insoliti.

Passi immediati di mitigazione (cosa fare nelle prossime 1–2 ore)

  1. Identificare i siti interessati
    • Usa l'elenco dei plugin WP admin o controlli del file system per confermare che il plugin sia installato e che la versione sia ≤ 1.2.
    • Se hai molti siti, esegui un inventario automatizzato per localizzare le istanze del plugin.
  2. Se puoi, metti il sito offline brevemente o attivalo in modalità manutenzione.
    • Questo è facoltativo ma raccomandato per siti ad alto traffico o ad alto rischio mentre agisci.
  3. Se è disponibile un aggiornamento dall'autore del plugin, applicalo. NOTA: Al momento della pubblicazione, non è disponibile alcuna versione patch ufficiale per le versioni vulnerabili specificate — non assumere che esista una patch. Verifica il changelog del plugin e le comunicazioni del fornitore.
  4. Se la patch non è disponibile, disinstalla o disabilita il plugin.
    • Disattiva dall'amministratore di WP o rimuovi la cartella del plugin tramite SFTP.
    • Se il plugin è necessario per motivi aziendali e non può essere disabilitato, applica la patch virtuale WAF (blocca / sanitizza il parametro vulnerabile) — istruzioni di seguito.
  5. Applica una regola WAF o una patch virtuale per fermare i tentativi di sfruttamento (raccomandato se non puoi rimuovere il plugin).
    • Blocca qualsiasi richiesta esterna che contenga caratteri meta SQL sospetti nel fmcfIdSelectedFnt parametro.
    • Blocca le richieste non autenticate agli endpoint specifici del plugin se quegli endpoint non dovrebbero essere pubblici comunque.
  6. Ruota le credenziali e rivedi l'accesso se sospetti una compromissione:
    • Reimposta le password per gli amministratori di WordPress, FTP/SFTP, cPanel e le password degli utenti del database se si sospetta un'intrusione.
  7. Controlla il tuo sito per indicatori di compromissione (vedi sezione sottostante).

Mitigazione WAF raccomandata (patch virtuale) — esempi e indicazioni

Se non riesci a rimuovere immediatamente il plugin, la patch virtuale tramite un WAF è il modo più veloce per bloccare il traffico di sfruttamento. Di seguito ci sono suggerimenti sicuri e non specifici per sfruttamenti che puoi implementare nella maggior parte delle interfacce WAF o nei pannelli di controllo di hosting. Queste sono regole concettuali — la sintassi esatta dipende dal tuo WAF.

  1. Blocca il contenuto dei parametri sospetti
    • Negare richieste dove fmcfIdSelectedFnt contiene caratteri comunemente usati per l'iniezione SQL (apice singolo, apice doppio, punto e virgola, token di commento, parole chiave SQL) e la richiesta è non autenticata.

    Pseudocodice / logica:

    • SE la richiesta contiene il parametro fmcfIdSelectedFnt
    • E il valore del parametro corrisponde al modello regex: [\x27\x22;#/*\b(UNIONE|SELEZIONA|INSERISCI|AGGIORNA|ELIMINA|RIMUOVI)\b] (non sensibile al maiuscolo)
    • ALLORA blocca la richiesta (restituisci 403)

    Nota: Consenti valori numerici legittimi o alfanumerici sicuri. Modifica il modello consentito in base all'uso del tuo plugin (se il plugin normalmente passa un singolo ID intero, consenti solo cifre).

  2. Limita l'accesso ai punti finali del plugin
    • Se i punti finali vulnerabili sono destinati solo all'uso da parte di amministratori autenticati, limitali in uno dei seguenti modi:
      • Consentendo l'accesso solo da sessioni di amministratori autenticati (verifica i cookie).
      • Limitando agli intervalli IP consentiti (IP interni degli amministratori).
      • Bloccando le richieste GET o POST da client anonimi a quei punti finali.
  3. Limitazione della velocità e controlli sul comportamento
    • Limita l'accesso ai punti finali del plugin per rallentare la scansione e i tentativi di sfruttamento automatizzati.
    • Blocca gli IP con scansioni fallite ripetute e modelli di richiesta aggressivi.
  4. Blocca le richieste con stringhe di errore del database nella risposta
    • Se rilevi che un punto finale restituisce spesso testo di errore SQL, utilizza il tuo WAF per intercettare e restituire una pagina di errore generica, prevenendo perdite.

Importante: Queste regole sono mitigazioni temporanee e dovrebbero essere combinate con la rimozione o l'aggiornamento del plugin. La patch virtuale riduce il rischio ma non risolve il problema del codice sottostante.

Come controllare per compromissione - indicatori, file e query

Se il tuo sito ha ricevuto traffico sospetto in precedenza o non sei sicuro di un incidente, esegui un'indagine mirata:

  1. Controlla i log di accesso e di errore
    • Cercare fmcfIdSelectedFnt richieste da IP sconosciuti.
    • Cerca nei log messaggi di errore SQL e attività POST sospette.
  2. Controllo utenti wp E wp_usermeta
    • Cerca nuovi utenti con ruolo di amministratore che non riconosci.
    • Ispeziona ultimo_accesso (se memorizzati), utente_registrato timestamp.
  3. Scansiona per file modificati
    • Utilizza un controllore di integrità dei file o Git diff (se il tuo sito è sotto controllo versione).
    • Cerca file PHP modificati di recente in contenuto wp, 1. wp-includes, e nelle directory radice.
  4. Cerca nel database contenuti sospetti
    • Controllo opzioni_wp per opzioni autoloaded inaspettate o script iniettati nei valori delle opzioni come siteurl O home.
    • Ispeziona i post per iframe nascosti, valutazione(), stringhe base64 o JavaScript offuscato.
  5. Attività pianificate e cron
    • Elenca i ganci cron attivi di WordPress (wp_cron) ed eventi programmati per attività sconosciute.
  6. Connessioni in uscita
    • Controlla connessioni di rete esterne insolite dal server, che potrebbero segnalare esfiltrazione di dati o callback a host C2.

Se trovi indicatori di compromissione, isola immediatamente il sito (mettilo offline) e procedi con un piano completo di contenimento e recupero.

Lista di controllo per la risposta agli incidenti (passo dopo passo)

  1. Isolare
    • Metti il sito/i colpito/i in modalità manutenzione.
    • Revoca l'accesso all'attaccante disabilitando le rotte di rete se necessario.
  2. Preservare le prove
    • Esegui il backup dei log, del database e dello snapshot del filesystem per analisi forense.
    • Non sovrascrivere le prove.
  3. Contenere
    • Disabilita o rimuovi il plugin vulnerabile.
    • Applica le regole WAF per bloccare il modello di exploit.
  4. Sradicare
    • Rimuovi web shell, utenti admin non autorizzati e file dannosi.
    • Ripristina file puliti da un backup noto se necessario.
  5. Recuperare
    • Aggiorna o reinstalla plugin/temi/core.
    • Rilascia nuovamente le credenziali e ruota le chiavi.
    • Indurire il sito (vedi la checklist di indurimento qui sotto).
  6. Rivedere e imparare
    • Eseguire un'analisi post-mortem per identificare come l'attaccante è riuscito e i passi per migliorare le difese.
    • Applicare misure a lungo termine: monitoraggio continuo, backup regolari e servizio di patching virtuale.

Checklist di indurimento (prima e dopo la rimediazione)

  • Mantieni aggiornati il core, i temi e i plugin di WordPress.
  • Limitare l'uso dei plugin solo a quelli essenziali e attivamente mantenuti.
  • Applicare password forti e autenticazione a più fattori (MFA) per gli account admin.
  • Utilizzare il principio del minimo privilegio per gli utenti del DB — evitare di utilizzare un utente DB con diritti di superutente.
  • Limita amministratore wp E wp-login.php tramite IP o aggiungere ulteriore autenticazione.
  • Implementa il monitoraggio dell'integrità dei file e scansioni malware regolari.
  • Mantenere backup giornalieri offsite e testare i ripristini periodicamente.
  • Utilizzare un WAF professionale per fornire patching virtuale e filtraggio del traffico.
  • Monitorare continuamente i log e gli avvisi e iscriversi a feed di intelligence sulla sicurezza affidabili.

Come WP‑Firewall aiuta — protezione immediata e continua

Presso WP‑Firewall adottiamo un approccio di difesa a più livelli che combina rilevamento proattivo, patching virtuale e risposta agli incidenti. Ecco come il nostro prodotto e i nostri servizi mitigano direttamente questo tipo di vulnerabilità:

  1. Regole WAF gestite e patching virtuale
    • Implementiamo regole che bloccano i tentativi di sfruttamento contro input vulnerabili noti (come fmcfIdSelectedFnt) senza attendere le patch del fornitore.
    • Le patch virtuali sono a basso rischio e testate per evitare falsi positivi su traffico legittimo.
  2. Blocco degli attacchi in tempo reale
    • Il nostro WAF blocca scanner automatizzati e toolkit di sfruttamento che sondano per tentativi di SQLi non autenticati.
    • Limitiamo anche il tasso e identifichiamo schemi di scansione distribuiti per prevenire sfruttamenti di massa.
  3. Scansione automatizzata e avviso
    • I siti sulla nostra piattaforma ricevono scansioni regolari delle vulnerabilità e notifiche se viene rilevato un plugin vulnerabile.
    • Monitoriamo i tentativi di sfruttamento e forniamo indicazioni immediate per la mitigazione.
  4. Supporto forense e di rimedio
    • Se si sospetta un compromesso, il supporto di WP‑Firewall può aiutare con l'indagine, il contenimento e i piani di recupero.
    • Forniamo indicazioni sulla rotazione delle credenziali, la pulizia e il ripristino dai backup.
  5. Igiene e reporting continui
    • I clienti Pro ricevono report di sicurezza mensili e gestione prioritaria delle vulnerabilità.
    • Il nostro piano Base include protezioni essenziali che bloccano attacchi comuni e rischi OWASP Top 10.

Non possiamo sottolineare abbastanza l'importanza della patching virtuale per le vulnerabilità per le quali una patch ufficiale non è disponibile o è in ritardo. Acquista tempo critico e riduce l'esposizione mentre pianifichi una soluzione permanente.

Indicatori di compromesso (IoCs) — esempi da cercare

Di seguito sono riportati i tipi di IoC da cercare. Questi sono generici, non specifici per exploit, destinati ad aiutare i team di rilevamento a individuare attività sospette.

  • Modelli di richieste HTTP:
    • Richieste che includono il nome del parametro: fmcfIdSelectedFnt
    • Richieste con valori di parametro ad alta entropia o caratteri insoliti in fmcfIdSelectedFnt
  • Registri del server:
    • Messaggi di errore SQL vicino ai file del plugin, ad esempio, errori che fanno riferimento ai percorsi dei file del plugin.
    • Frequenza elevata di risposte 4xx o 5xx agli endpoint del plugin.
  • Artefatti di WordPress:
    • Nuovi utenti admin con nomi utente sospetti.
    • Modifiche inaspettate a opzioni_wp (siteurl/home), voci active_plugins o file di tema.
  • File system:
    • File PHP con PHP offuscato (base64_decode + valutare).
    • Nuovi file in wp-content/caricamenti con estensione .php.

Quando rilevi uno dei punti sopra, trattalo come un incidente ad alta priorità e segui la checklist di risposta all'incidente.

Linee guida per la comunicazione per proprietari di siti e amministratori

Se gestisci più siti o fornisci hosting, comunica chiaramente:

  • Informare le parti interessate che il plugin ha una vulnerabilità non autenticata di alta gravità.
  • Raccomanda un'azione immediata: rimuovere/disattivare il plugin o applicare patch virtuali WAF.
  • Fornisci tempistiche: indica che una patch del fornitore potrebbe non essere ancora disponibile e che la patching virtuale è una misura intermedia sicura.
  • Fornisci passaggi di rimedio e offri assistenza remota se necessario.

Domande frequenti

D: Dovrei eliminare il plugin o semplicemente disattivarlo?
R: Se hai assolutamente bisogno della funzionalità del plugin e non puoi rimuoverlo temporaneamente, disattivalo solo se la disattivazione interrompe funzionalità critiche; altrimenti rimuovilo fino a quando non esiste una patch sicura. La patching virtuale con un WAF è una mitigazione accettabile a breve termine.

D: E se il mio sito è stato patchato dall'autore del plugin dopo questo avviso?
R: Se diventa disponibile un aggiornamento ufficiale, testalo in un ambiente di staging e poi aggiorna in produzione. Dopo l'aggiornamento, scansiona il sito per segni di compromissione e verifica l'integrità.

D: I backup del plugin sono sicuri da ripristinare se sono stati effettuati mentre il plugin era attivo?
R: Fai attenzione: i backup effettuati mentre il plugin era presente potrebbero contenere modifiche dannose se si è verificata una compromissione. Verifica i backup e scansionali prima di ripristinarli.

Checklist: Azioni immediate (sommario di una pagina)

  • Inventaria i siti e localizza le istanze del plugin (versioni ≤ 1.2).
  • Se il plugin è presente: disattivalo o rimuovilo immediatamente, OPPURE applica una patch virtuale WAF.
  • Applica una regola WAF che blocchi richieste sospette. fmcfIdSelectedFnt valori.
  • Controlla i log per richieste sospette ed errori SQL.
  • Scansiona per nuovi utenti admin, file modificati e attività pianificate.
  • Ruota le credenziali (admin, FTP, DB) se viene trovata attività sospetta.
  • Fai una copia delle prove e avvia la risposta all'incidente se si sospetta una compromissione.
  • Iscriviti agli avvisi dei fornitori per aggiornamenti e esegui la patch ufficiale quando disponibile.

Proteggi il tuo sito ora — Prova il piano gratuito di WP‑Firewall

Se desideri una protezione di base immediata mentre valuti e rimedi, considera il nostro piano Basic (Gratuito) su WP‑Firewall. Fornisce una protezione essenziale e gestita per bloccare schemi di attacco noti e ridurre l'esposizione a finestre di sfruttamento zero-day.

Punti salienti del piano (Basic — Gratuito):

  • Firewall gestito con un WAF ottimizzato che blocca input dannosi e impronte di attacco.
  • Larghezza di banda illimitata mentre proteggi il tuo sito contro scanner automatici e tentativi di sfruttamento.
  • Scanner malware per trovare file e modifiche sospette.
  • Mitigazioni per i rischi OWASP Top 10 per ridurre la probabilità di attacchi riusciti.

Per una protezione semplice e una rapida mitigazione di minacce come l'iniezione SQL non autenticata in Fonts Manager | Custom Fonts, puoi iscriverti al piano gratuito qui:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se hai bisogno di una pulizia più rapida e automatizzata e di patch virtuali, i nostri piani a pagamento includono rimozione automatica di malware, patch virtuali, report di sicurezza mensili e supporto dedicato per la rimediazione.

Note finali e divulgazione responsabile

Questo avviso è scritto per aiutare i proprietari e gli amministratori di siti a proteggere i loro siti WordPress. Evitiamo di condividere codice di sfruttamento per prevenire riutilizzi dannosi — l'obiettivo è una mitigazione rapida e sicura. Se gestisci siti interessati, agisci immediatamente: rimuovi o disabilita il plugin, applica le protezioni WAF e indaga nei log per eventuali sfruttamenti passati.

Se hai bisogno di assistenza, WP‑Firewall fornisce rimedi guidati, risposta agli incidenti e patch virtuali continue per ridurre l'esposizione fino a quando non è disponibile una soluzione permanente. Forniamo anche una protezione Basic gratuita che blocca tentativi di sfruttamento comuni — un primo passo pratico per qualsiasi proprietario di sito.

Rimani vigile, mantieni il software aggiornato e indurisci le tue implementazioni WordPress. Se hai domande o hai bisogno di aiuto per applicare i passaggi sopra, contatta il nostro team di supporto tramite la tua console WP‑Firewall.

Riferimenti (per amministratori e team tecnici):
– CVE: CVE-2026-1800 (identificatore di avviso pubblico; controlla il database CVE ufficiale per aggiornamenti)
– Migliori pratiche generali di indurimento contro l'iniezione SQL e linee guida OWASP

(Fine dell'avviso)

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™