Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

38.779 vulnerabilidades

wordpress

378

plugin

35529

theme

2872

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-2840

Email Encoder – Protect Email Addresses and Phone Numbers <= 2.4.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via eeb_mailto Shortcode

email-encoder-bundle

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Email Encoder, que afecta a las versiones hasta la 2.4.4. Este fallo…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-3875

BetterDocs <= 4.3.8 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

betterdocs

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin BetterDocs, que afecta a las versiones anteriores a la 4.3.9. Esta f…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-3876

Prismatic <= 3.7.3 - Unauthenticated Stored Cross-Site Scripting via 'prismatic_encoded' Pseudo-Shortcode

prismatic

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Prismatic, que afecta a las versiones anteriores a 3.7.4. Esta falla…

HIGH CVSS 8.8

PLUGIN csrf CVE-2025-14868

Career Section <= 1.6 - Cross-Site Request Forgery to Arbitrary File Deletion

career-section

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo CSRF en el plugin Career Section, que permite la eliminación arbitraria de archivos. Esta falla, con una sev…

MEDIUM CVSS 5.3

PLUGIN CVE-2026-0718

Post Grid Gutenberg Blocks for News, Magazines, Blog Websites – PostX <= 5.0.5 - Missing Authorization to Limited Post Meta Modification

ultimate-post

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad en el plugin PostX (versiones <= 5.0.5) que permite la modificación no autorizada de metadatos de publicaciones. Est…

HIGH CVSS 7.5

PLUGIN sqli CVE-2026-3489

DirectoryPress – Business Directory And Classified Ad Listing <= 3.6.26 - Unauthenticated SQL Injection via 'packages'

directorypress

Publicado: 15/04/2026

Se ha detectado una vulnerabilidad crítica de inyección SQL en el plugin DirectoryPress, afectando a versiones hasta la 3.6.26. Esta falla permite a ataca…

LOW CVSS 3.1

PLUGIN CVE-2026-3155

OneSignal – Web Push Notifications <= 3.8.0 - Missing Authorization to Authenticated (Subscriber+) Post Meta Deletion via 'post_id'

onesignal-free-web-push-notifications

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad en el plugin OneSignal – Web Push Notifications, que permite la eliminación de metadatos de publicaciones sin la deb…

MEDIUM CVSS 5.4

PLUGIN xss CVE-2026-3369

Better Find and Replace – AI-Powered Suggestions <= 1.7.9 - Authenticated (Author+) Stored Cross-Site Scripting via Uploaded Image Title

real-time-auto-find-and-replace

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Better Find and Replace, que afecta a versiones hasta la 1.7.9. Este…

MEDIUM CVSS 4.3

PLUGIN CVE-2026-4949

ProfilePress <= 4.16.12 - Missing Authorization to Authenticated (Subscriber+) Inactive Membership Plan Subscription

wp-user-avatar

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad en el plugin WP User Avatar que permite a usuarios autenticados (nivel suscriptor y superior) acceder a planes de me…

CRITICAL CVSS 9.8

PLUGIN privesc CVE-2026-4880

Barcode Scanner (+Mobile App) <= 1.11.0 - Unauthenticated Privilege Escalation via Insecure Token Authentication

barcode-scanner-lite-pos-to-manage-products-inventory-and-orders

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Barcode Scanner Lite (versión <= 1.11.0) que permite la escalación de privilegios no autenticad…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-3299

WP YouTube Lyte <= 1.7.29 - Authenticated (Contributor+) Stored Cross-Site Scripting via lyte Shortcode

wp-youtube-lyte

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP YouTube Lyte, afectando a versiones hasta la 1.7.29. Esta vulnera…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-3885

WP Shortcodes Plugin — Shortcodes Ultimate <= 7.4.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via su_box Shortcode

shortcodes-ultimate

Publicado: 15/04/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Shortcodes Ultimate, que afecta a las versiones hasta la 7.4.9. Esta falla permite la ejecu…