Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

CRITICAL CVSS 9.8
PLUGIN authbypass CVE-2026-3535

DSGVO Google Web Fonts GDPR <= 1.1 - Unauthenticated Arbitrary File Upload via 'fonturl' Parameter

dsgvo-google-web-fonts-gdpr

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin DSGVO Google Web Fonts GDPR que permite la carga de archivos arbitrarios sin necesidad de auten…

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-2838

Whole Enquiry Cart for WooCommerce <= 1.2.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'woowhole_success_msg' Parameter

whole-cart-enquiry

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Whole Enquiry Cart para WooCommerce, que afecta a versiones hasta la 1.2.1. Esta…

MEDIUM CVSS 5.3
PLUGIN privesc CVE-2026-5167

Masteriyo LMS <= 2.1.7 - Unauthenticated Authorization Bypass to Arbitrary Order Completion via Stripe Webhook Endpoint

learning-management-system

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Masteriyo LMS, que afecta a las versiones hasta la 2.1.7. Este fallo per…

MEDIUM CVSS 5.3
PLUGIN idor CVE-2026-4654

Awesome Support <= 6.3.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Unauthorized Ticket Reply Access via 'ticket_id' Parameter

awesome-support

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Awesome Support, que afecta a las versiones hasta la 6.3.7. Esta falla permite a usuarios …

MEDIUM CVSS 4.3
PLUGIN idor CVE-2026-4330

Blog2Social: Social Media Auto Post & Scheduler <= 8.8.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary Post Schedule Modification via 'b2s_id' Parameter

blog2social

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de referencia de objeto directo inseguro (IDOR) en el plugin Blog2Social, que permite a usuarios autenticados modifi…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4655

Element Pack Addons for Elementor <= 8.4.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via SVG Image Widget

bdthemes-element-pack-lite

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Element Pack Addons para Elementor, que afecta a las versiones hasta la 8.4.2. Esta vulnera…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1396

Magic Conversation For Gravity Forms <= 3.0.97 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

magic-conversation-for-gravity-forms

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Magic Conversation para Gravity Forms, que afecta a versiones hasta …

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4303

WP Visitor Statistics (Real Time Traffic) <= 8.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'height' Shortcode Attribute

wp-stats-manager

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin WP Visitor Statistics, que afecta a versiones hasta la 8.4. Este fallo permite a…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4073

pdfl.io <= 1.0.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'text' Shortcode Attribute

pdfl-io

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin pdfl.io hasta la versión 1.0.5. Esta falla permite a usuarios autent…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4300

Robo Gallery <= 5.1.3 - Authenticated (Author+) Stored Cross-Site Scripting via 'Loading Label' Setting

robo-gallery

Publicado: 07/04/2026

La versión 5.1.3 del plugin Robo Gallery presenta una vulnerabilidad de tipo XSS almacenado, que puede ser explotada por usuarios autenticados con permiso…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4025

PrivateContent Free <= 1.2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'align' Shortcode Attribute

privatecontent-free

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin PrivateContent Free, afectando a versiones hasta 1.2.0. Esta falla permite a usu…

MEDIUM CVSS 5.4
PLUGIN CVE-2026-4065

Smart Slider 3 <= 3.5.1.33 - Missing Authorization to Authenticated (Contributor+) Slider Data Read and Image Record Manipulation

smart-slider-3

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad en el plugin Smart Slider 3, versiones hasta 3.5.1.33, que permite a usuarios autenticados con rol de colaborador ac…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad