Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-1379

HTTP Headers <= 1.19.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Custom Headers' Plugin Setting

http-headers

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin HTTP Headers hasta la versión 1.19.2, que permite a usuarios autenti…

HIGH CVSS 7.2
PLUGIN rce CVE-2026-4132

HTTP Headers <= 1.19.2 - Authenticated (Administrator+) External Control of File Name or Path to RCE via 'hh_htpasswd_path' and 'hh_www_authenticate_user' Parameters

http-headers

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin HTTP Headers que permite el control externo de nombres de archivo o ruta, lo que puede llevar a…

MEDIUM CVSS 5.5
PLUGIN xss CVE-2026-1845

Real Estate Pro <= 1.0.9 - Authenticated (Admin+) Stored Cross-Site Scripting via Settings

re-pro

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Real Estate Pro en versiones hasta la 1.0.9. Esta falla permite la e…

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-2719

Private WP suite <= 0.4.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Exceptions' Setting

private-wp-suite

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Private WP Suite, afectando a versiones hasta la 0.4.1. Esta vulnera…

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-3362

Short Comment Filter <= 2.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Minimum Count' Setting

short-comment-filter

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Short Comment Filter, que afecta a versiones anteriores a la 2.2. Es…

MEDIUM CVSS 4.3
PLUGIN CVE-2026-1930

Emailchef <= 3.5.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Settings Deletion

emailchef

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad en el plugin Emailchef (hasta la versión 3.5.1) que permite a usuarios autenticados con rol de suscriptor o superior…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1913

Gallagher Website Design <= 2.6.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'prefix' Shortcode Attribute

gallagher-website-design

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Gallagher Website Design, que afecta a versiones hasta 2.6.4. Este f…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1395

Gutentools <= 1.1.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Slider Block Attributes

gutentools

Publicado: 21/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Gutentools hasta la versión 1.1.3. Esta falla permite a usuarios aut…

MEDIUM CVSS 6.6
PLUGIN rce CVE-2026-39472

PDF Invoices & Packing Slips for WooCommerce < 5.9.0 - Authenticated (Shop manager+) PHP Object Injection

woocommerce-pdf-invoices-packing-slips

Publicado: 20/04/2026

Una vulnerabilidad de ejecución remota de código (RCE) ha sido identificada en el plugin PDF Invoices & Packing Slips para WooCommerce en versiones anteri…

HIGH CVSS 7.5
PLUGIN rce CVE-2026-39478

Anti-Malware Security and Brute-Force Firewall <= 4.23.87 - Authenticated (Contributor+) PHP Object Injection

gotmls

Publicado: 20/04/2026

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin GOTMLS, afectando a versiones anteriores a la 4.23.88. Esta falla p…

HIGH CVSS 8.1
THEME authbypass CVE-2026-40760

Behold <= 1.5 - Unauthenticated PHP Object Injection

behold

Publicado: 20/04/2026

La vulnerabilidad en el tema Behold (versiones <= 1.5) permite la inyección de objetos PHP sin necesidad de autenticación. Esto puede comprometer la segur…

HIGH CVSS 8.1
THEME authbypass CVE-2026-40754

Roisin - Flower Shop and Florist WordPress Theme <= 1.4 - Unauthenticated PHP Object Injection

roisin

Publicado: 20/04/2026

Se ha identificado una vulnerabilidad de inyección de objetos PHP no autenticada en el tema Roisin para WordPress, que afecta a versiones hasta la 1.4. Es…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad