Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas

Evaluación rápida de riesgos WordPress

Detecta vulnerabilidades, conflictos de plugins y riesgos de rendimiento.

Solicitar análisis gratuito

Base de datos de vulnerabilidades WordPress

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

El contenido enriquecido se redacta de forma original para evitar duplicidad literal y mejorar la navegación temática.

38.221 vulnerabilidades

wordpress

378

plugin

35060

theme

2783

HIGH CVSS 7.1
PLUGIN CVE-2026-5809

wpForo Forum <= 3.0.2 - Authenticated (Subscriber+) Arbitrary File Deletion via 'data[body][fileurl]' Parameter

wpforo

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin wpForo, que permite la eliminación arbitraria de archivos a través del parámetro 'data[body][fi…

Ver ficha
MEDIUM CVSS 6.1
PLUGIN xss CVE-2026-5226

Optimole <= 4.2.3 - Reflected Cross-Site Scripting via Page Profiler URL

optimole-wp

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Optimole hasta la versión 4.2.3, que permite la inyección de scripts maliciosos a través de…

Ver ficha
MEDIUM CVSS 5.4
PLUGIN CVE-2026-3358

Tutor LMS <= 3.9.7 - Missing Authorization to Authenticated (Subscriber+) Unauthorized Private Course Enrollment

tutor

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad en Tutor LMS que permite la inscripción no autorizada en cursos privados para usuarios autenticados con rol de suscr…

Ver ficha
HIGH CVSS 7.2
PLUGIN xss CVE-2026-5217

Optimole <= 4.2.2 - Unauthenticated Stored Cross-Site Scripting via Srcset Descriptor Parameter

optimole-wp

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Optimole hasta la versión 4.2.2. Este fallo permite la inyección de …

Ver ficha
MEDIUM CVSS 6.5
PLUGIN sqli CVE-2026-5207

LifterLMS <= 9.2.1 - Authenticated (Custom+) SQL Injection via 'order' Parameter

lifterlms

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de inyección SQL autenticada en el plugin LifterLMS, afectando versiones hasta la 9.2.1. Esta brecha permite a un at…

Ver ficha
HIGH CVSS 8.8
PLUGIN privesc CVE-2026-5144

BuddyPress Groupblog <= 1.9.3 - Authenticated (Subscriber+) Privilege Escalation to Administrator via Group Blog IDOR

bp-groupblog

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin BuddyPress Groupblog que permite a usuarios autenticados con rol de Suscriptor elevar sus privi…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3498

BlockArt Blocks <= 2.2.15 - Authenticated (Author+) Stored Cross-Site Scripting via 'clientId' Block Attribute

blockart-blocks

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin BlockArt Blocks, que afecta a versiones hasta la 2.2.15. Esta vulner…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4895

Greenshift <= 12.8.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via disablelazy Attribute

greenshift-animation-and-page-builder-blocks

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Greenshift, que afecta a versiones hasta la 12.8.9. Este fallo permi…

Ver ficha
MEDIUM CVSS 5.0
PLUGIN ssrf CVE-2026-4979

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Server-Side Request Forgery via 'uwp_crop' Parameter

userswp

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo SSRF en el plugin UsersWP, que afecta a las versiones hasta 1.2.58. Esta falla permite a usuarios autenticad…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN idor CVE-2026-3371

Tutor LMS <= 3.9.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Course Content Modification

tutor

Publicado: 10/04/2026

Se ha identificado una vulnerabilidad de tipo IDOR en Tutor LMS que permite a usuarios autenticados modificar contenido de cursos de manera no autorizada.…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-2305

AddFunc Head & Footer Code <= 2.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom Fields

addfunc-head-footer-code

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AddFunc Head & Footer Code, que afecta a versiones anteriores a la 2…

Ver ficha
HIGH CVSS 7.1
PLUGIN CVE-2026-4162

Gravity SMTP <= 2.1.4 - Missing Authorization to Authenticated (Subscriber+) Plugin Uninstall

gravitysmtp

Publicado: 09/04/2026

La versión 2.1.4 del plugin Gravity SMTP presenta una vulnerabilidad que permite la desinstalación del plugin sin la autorización adecuada para usuarios a…

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad