Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

HIGH CVSS 8.1

PLUGIN CVE-2026-8095

Frontend File Manager Plugin <= 23.6 - Authenticated (Subscriber+) Arbitrary File Deletion

nmedia-user-file-uploader

Publicado: 27/06/2026

Se ha identificado una vulnerabilidad crítica en el plugin Frontend File Manager de NMedia, que permite a usuarios autenticados con rol de suscriptor elim…

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2026-13333

Groundhogg <= 4.5.5 - Authenticated (Sales Rep+) SQL Injection via 'query[select]' Parameter

groundhogg

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Groundhogg, afectando a versiones hasta la 4.5.5. Esta falla puede ser explotada por u…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-13335

CodePeople Post Map for Google Maps <= 1.2.6 - Authenticated (Contributor +) Stored Cross-Site Scripting via 'cpm_point' Post Meta

codepeople-post-map

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin CodePeople Post Map, que afecta a las versiones hasta la 1.2.6. Esta…

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2026-13331

Groundhogg <= 4.5.5 - Authenticated (Marketer+) SQL Injection via 'search' Parameter

groundhogg

Publicado: 26/06/2026

Se ha detectado una vulnerabilidad de inyección SQL en el plugin Groundhogg hasta la versión 4.5.5, que permite a un atacante autenticado manipular consul…

MEDIUM CVSS 4.3

PLUGIN csrf CVE-2026-13422

HD Quiz 2.2.0 - 2.2.1 - Cross-Site Request Forgery via Multiple AJAX Handlers

hd-quiz

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en las versiones 2.2.0 y 2.2.1 del plugin HD Quiz. Esta debilidad puede se…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2026-11356

Ivory Search <= 5.5.15 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'menu_title' and 'menu_magnifier_color' Settings

add-search-to-menu

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Ivory Search en versiones hasta 5.5.15. Esta falla permite a adminis…

CRITICAL CVSS 9.8

PLUGIN privesc CVE-2026-12415

Invoice Generator <= 1.0.0 - Unauthenticated Privilege Escalation via Account Takeover via 'user_id' Parameter

invoice-creator

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad crítica en el plugin Invoice Generator, que permite la escalación de privilegios a través del parámetro 'user_id'. E…

MEDIUM CVSS 6.1

PLUGIN xss CVE-2026-13245

MaxButtons <= 9.8.5 - Reflected Cross-Site Scripting via 'view' Parameter

maxbuttons

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de tipo XSS reflejado en el plugin MaxButtons hasta la versión 9.8.5. Esta falla puede ser explotada a través del pa…

MEDIUM CVSS 5.3

PLUGIN authbypass CVE-2026-12404

NEX-Forms <= 9.2.2 - Missing Authorization to Unauthenticated Sensitive Information Disclosure via CSVExport Class

nex-forms-express-wp-form-builder

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad en NEX-Forms hasta la versión 9.2.2 que permite la divulgación de información sensible sin autenticación. Este fallo…

MEDIUM CVSS 4.3

PLUGIN rce CVE-2026-11987

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.4 - Authenticated (Subscriber+) Insecure Direct Object Reference to Information Disclosure via 'id' Parameter

dokan-lite

Publicado: 26/06/2026

Se ha detectado una vulnerabilidad en el plugin Dokan Lite (versiones <= 5.0.4) que permite la divulgación de información sensible mediante una referencia…

MEDIUM CVSS 4.3

PLUGIN rce CVE-2026-11364

Product Specifications for Woocommerce <= 0.8.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Attribute/Group Creation, Modification, and Deletion via 'dwps_modify_groups' and 'dwps_modify_attributes' AJAX Actions

product-specifications

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad en el plugin Product Specifications para WooCommerce, que permite a usuarios autenticados con rol de suscriptor o su…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-11783

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.4 - Authenticated (Custom+) Stored Cross-Site Scripting via Product SKU

dokan-lite

Publicado: 26/06/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Dokan Lite, afectando a versiones hasta la 5.0.4. Este fallo permite la inyección de script…