Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

HIGH CVSS 8.8
PLUGIN CVE-2026-4326

Vertex Addons for Elementor <= 1.6.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Installation and Activation via 'afeb_activate_required_plugins'

addons-for-elementor-builder

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Vertex Addons para Elementor, que permite a usuarios autenticados con rol de suscriptor instala…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4429

OSM <= 6.1.15 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'marker_name' Shortcode Attribute

osm

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin OSM hasta la versión 6.1.15. Este fallo permite a usuarios autentica…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-5357

Download Manager <= 3.3.52 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

download-manager

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Download Manager, que afecta a versiones hasta la 3.3.52. Esta falla permite la ejecución d…

MEDIUM CVSS 5.4
PLUGIN CVE-2026-4124

Ziggeo <= 3.1.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Modification via 'ziggeo_ajax' AJAX Action

ziggeo

Publicado: 08/04/2026

La versión Ziggeo hasta 3.1.1 presenta una vulnerabilidad que permite a usuarios autenticados (Subscriber+) realizar modificaciones arbitrarias a través d…

MEDIUM CVSS 4.3
PLUGIN idor CVE-2026-3568

MStore API <= 4.18.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary User Meta Update

mstore-api

Publicado: 08/04/2026

La versión 4.18.3 de MStore API presenta una vulnerabilidad de referencia a objetos directos inseguros (IDOR) que permite a usuarios autenticados (nivel S…

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-3574

Experto Dashboard for WooCommerce <= 1.0.4 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Navigation Font Size' Setting

experto-custom-dashboard

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Experto Dashboard para WooCommerce, afectando a versiones hasta 1.0.…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4336

Ultimate FAQ Accordion Plugin <= 2.4.7 - Authenticated (Author+) Stored Cross-Site Scripting via FAQ Content

ultimate-faqs

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Ultimate FAQ Accordion, que afecta a las versiones hasta la 2.4.7. Esta falla pe…

CRITICAL CVSS 9.8
PLUGIN authbypass CVE-2026-1830

Quick Playground <= 1.3.1 - Missing Authorization to Unauthenticated Arbitrary File Upload

quick-playground

Publicado: 08/04/2026

La extensión Quick Playground presenta una vulnerabilidad crítica que permite la carga de archivos arbitrarios sin necesidad de autenticación. Este fallo …

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-5742

UsersWP <= 1.2.60 - Authenticated (Subscriber+) Stored Cross-Site Scripting via User Badge Link Substitution

userswp

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin UsersWP, que afecta a las versiones hasta la 1.2.60. Esta falla perm…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3005

List category posts <= 0.94.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'catlist' Shortcode

list-category-posts

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin List Category Posts, afectando a versiones hasta la 0.94.0. Esta fal…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-2519

Online Scheduling and Appointment Booking System – Bookly <= 27.0 - Unauthenticated Price Manipulation via 'tips'

bookly-responsive-appointment-booking-tool

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad en el plugin Bookly (versiones <= 27.0) que permite la manipulación no autenticada de precios a través del parámetro…

MEDIUM CVSS 6.6
PLUGIN rce CVE-2026-39434

Product Feed Manager for WooCommerce – CTX Feed – Support 220+ Shopping & Social Channels <= 6.6.26 - Authenticated (Shop Manager+) PHP Object Injection

webappick-product-feed-for-woocommerce

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin 'Product Feed Manager for WooCommerce – CTX Feed' en versiones hast…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad