Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

CRITICAL CVSS 9.8
PLUGIN CVE-2026-6443

Essentialplugin Plugins (Various Versions) - Injected Backdoor

portfolio-and-projects

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Accordion and Accordion Slider (versión 1.4.6) que permite la inyección de backdoors. Esta fall…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-2305

AddFunc Head & Footer Code <= 2.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom Fields

addfunc-head-footer-code

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AddFunc Head & Footer Code, que afecta a versiones anteriores a la 2…

HIGH CVSS 7.1
PLUGIN CVE-2026-4162

Gravity SMTP <= 2.1.4 - Missing Authorization to Authenticated (Subscriber+) Plugin Uninstall

gravitysmtp

Publicado: 09/04/2026

La versión 2.1.4 del plugin Gravity SMTP presenta una vulnerabilidad que permite la desinstalación del plugin sin la autorización adecuada para usuarios a…

MEDIUM CVSS 5.3
PLUGIN rce CVE-2026-4664

Customer Reviews for WooCommerce <= 5.103.0 - Unauthenticated Authentication Bypass to Arbitrary Review Submission via 'key' Parameter

customer-reviews-woocommerce

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad en el plugin 'Customer Reviews for WooCommerce' que permite el envío no autenticado de reseñas mediante el parámetro…

MEDIUM CVSS 4.3
PLUGIN CVE-2026-4057

Download Manager <= 3.3.51 - Missing Authorization to Authenticated (Contributor+) Media File Protection Removal

download-manager

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad en el plugin Download Manager en versiones hasta la 3.3.51, relacionada con la falta de autorización en la protecció…

HIGH CVSS 7.5
PLUGIN authbypass CVE-2026-3360

Tutor LMS <= 3.9.7 - Missing Authorization to Unauthenticated Arbitrary Billing Profile Overwrite via 'order_id' Parameter

tutor

Publicado: 09/04/2026

La extensión Tutor LMS presenta una vulnerabilidad de bypass de autenticación que permite a usuarios no autenticados sobreescribir perfiles de facturación…

MEDIUM CVSS 5.4
PLUGIN CVE-2026-2712

WP-Optimize <= 4.5.0 - Missing Authorization to Authenticated (Subscriber+) Plugin Settings Update and Image Manipulation

wp-optimize

Publicado: 09/04/2026

La versión 4.5.0 del plugin WP-Optimize presenta una vulnerabilidad que permite actualizaciones de configuración y manipulación de imágenes sin la autoriz…

MEDIUM CVSS 4.3
PLUGIN csrf CVE-2026-1924

Aruba HiSpeed Cache <= 3.0.4 - Cross-Site Request Forgery to Plugin Settings Reset

aruba-hispeed-cache

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Aruba HiSpeed Cache, afectando a las versiones hasta la 3.0.4…

HIGH CVSS 8.1
PLUGIN CVE-2026-4351

Perfmatters <= 2.5.9 - Authenticated (Subscriber+) Arbitrary File Overwrite via 'snippets' Parameter

perfmatters

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Perfmatters (versiones <= 2.5.9) que permite la sobrescritura arbitraria de archivos a través d…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1263

Webling <= 3.9.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'title' Parameter

webling

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Webling en versiones hasta la 3.9.0. Este fallo permite a usuarios a…

MEDIUM CVSS 6.1
PLUGIN xss CVE-2026-4305

Royal WordPress Backup & Restore Plugin <= 1.0.16 - Reflected Cross-Site Scripting via 'wpr_pending_template' Parameter

royal-backup-reset

Publicado: 09/04/2026

El plugin Royal WordPress Backup & Restore hasta la versión 1.0.16 presenta una vulnerabilidad de tipo XSS reflejado a través del parámetro 'wpr_pending_t…

MEDIUM CVSS 4.3
PLUGIN CVE-2026-4977

UsersWP <= 1.2.58 - Authenticated (Subscriber+) Restricted Usermeta Modification via 'htmlvar' Parameter

userswp

Publicado: 09/04/2026

Se ha identificado una vulnerabilidad en el plugin UsersWP, que permite a usuarios autenticados con rol de suscriptor o superior modificar datos de userme…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad