Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-5508

WowPress <= 1.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

wowpress

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WowPress, que afecta a versiones hasta 1.0.0. Esta vulnerabilidad pe…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-5506

Wavr <= 0.2.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

wavr

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Wavr, que afecta a versiones hasta la 0.2.6. Este fallo permite a us…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3142

Pinterest Site Verification plugin using Meta Tag <= 1.8 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'post_var'

pinterest-site-verification

Publicado: 07/04/2026

El plugin Pinterest Site Verification, versiones anteriores a 1.8, presenta una vulnerabilidad de tipo XSS almacenado que puede ser explotada por usuarios…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-3594

Riaxe Product Customizer <= 2.4 - Unauthenticated Sensitive Information Disclosure via '/orders' REST API Endpoint

riaxe-product-customizer

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad en el plugin Riaxe Product Customizer que permite la divulgación no autenticada de información sensible a través del…

MEDIUM CVSS 4.3
PLUGIN csrf CVE-2026-4141

Quran Translations <= 1.7 - Cross-Site Request Forgery to Playlist Settings Form

quran-translations-by-edc

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo CSRF en el plugin Quran Translations, afectando a versiones hasta la 1.7. Esta falla puede ser explotada par…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3618

Columns by BestWebSoft <= 1.0.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'columns' Shortcode 'id' Attribute

columns-bws

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Columns by BestWebSoft, que afecta a versiones anteriores o iguales …

HIGH CVSS 7.2
PLUGIN upload CVE-2026-4808

Gerador de Certificados – DevApps <= 1.3.6 - Authenticated (Administrator+) Arbitrary File Upload

gerador-de-certificados-devapps

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Gerador de Certificados – DevApps que permite la carga arbitraria de archivos por usuarios aute…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4871

Sports Club Management <= 1.12.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'before' Attribute

sports-club-management

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Sports Club Management, que afecta a las versiones anteriores a 1.12…

MEDIUM CVSS 5.4
PLUGIN sqli CVE-2026-3781

Attendance Manager <= 0.6.2 - Authenticated (Subscriber+) SQL Injection via 'attmgr_off' Parameter

attendance-manager

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Attendance Manager hasta la versión 0.6.2, que afecta a usuarios autenticados con rol …

MEDIUM CVSS 5.4
PLUGIN xss CVE-2025-1794

AM LottiePlayer <= 3.6.0 - Authenticated (Author+) Stored Cross-Site Scripting via SVG

am-lottieplayer

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AM LottiePlayer, afectando a versiones anteriores a la 3.6.0. Este f…

MEDIUM CVSS 5.3
PLUGIN CVE-2026-3477

PZ Frontend Manager <= 1.0.6 - Missing Authorization to Arbitrary User Deletion via 'dataType' Parameter

pz-frontend-manager

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad en PZ Frontend Manager hasta la versión 1.0.6 que permite la eliminación arbitraria de usuarios sin autorización. Es…

MEDIUM CVSS 6.5
PLUGIN CVE-2026-3480

WP Blockade <= 0.9.14 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Shortcode Execution via 'shortcode' Parameter

wp-blockade

Publicado: 07/04/2026

La vulnerabilidad en WP Blockade (hasta la versión 0.9.14) permite a usuarios autenticados (nivel Subscriber y superior) ejecutar códigos arbitrarios a tr…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad