Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.055 vulnerabilidades

wordpress

378

plugin

35774

theme

2903

MEDIUM CVSS 4.3

PLUGIN csrf CVE-2025-14167

Remove Post Type Slug <= 1.0.2 - Cross-Site Request Forgery to Settings Update

remove-post-type-slug

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin 'Remove Post Type Slug' hasta la versión 1.0.2. Esta vulnerab…

HIGH CVSS 7.2

PLUGIN xss CVE-2025-14452

WP Customer Reviews <= 3.7.5 - Reflected Cross-Site Scripting via 'wpcr3_fname' Parameter

wp-customer-reviews

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Customer Reviews, afectando a las versiones hasta la 3.7.5. Esta …

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-14983

Advanced Custom Fields: Font Awesome <= 5.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

advanced-custom-fields-font-awesome

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced Custom Fields: Font Awesome en versiones hasta 5.0.1. Esta …

MEDIUM CVSS 5.3

THEME rce CVE-2025-14357

Mega Store Woocommerce <= 5.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Page Creation and Settings Change

mega-store-woocommerce

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad en el tema Mega Store Woocommerce, que permite a usuarios autenticados con rol de suscriptor o superior crear página…

MEDIUM CVSS 4.3

PLUGIN rce CVE-2026-1455

Whatsiplus Scheduled Notification for Woocommerce <= 1.0.1 - Cross-Site Request Forgery to 'wsnfw_save_users_settings' AJAX Action

whatsiplus-scheduled-notification-for-woocommerce

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin Whatsiplus Scheduled Notification for WooCommerce, que afecta…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-14445

Image Hotspot by DevVN <= 1.2.9 - Authenticated (Author+) Stored Cross-Site Scripting via Custom Field Meta

devvn-image-hotspot

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Image Hotspot by DevVN, que afecta a las versiones hasta la 1.2.9. E…

MEDIUM CVSS 6.1

PLUGIN xss CVE-2026-0561

Shield Security <= 21.0.8 - Unauthenticated Reflected Cross-Site Scripting via 'message' Parameter

wp-simple-firewall

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Simple Firewall en versiones hasta la 21.0.8. Esta falla permite …

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-1373

Easy Author Image <= 1.7 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Profile Picture URL

easy-author-image

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Easy Author Image, que afecta a versiones anteriores a la 1.7. Esta …

MEDIUM CVSS 5.4

PLUGIN CVE-2026-2284

News Element Elementor Blog Magazine <= 1.0.8 - Missing Authorization to Authenticated (Subscriber+) Data Loss

news-element

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de nivel medio en el plugin News Element para Elementor, que afecta a las versiones hasta la 1.0.8. Esta vulnerabili…

CRITICAL CVSS 9.8

THEME privesc CVE-2025-13851

Buyent Theme (with Buyent Classified Plugin) <= 1.0.7 - Unauthenticated Privilege Escalation via User Registration

buyent

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad crítica en el tema Buyent, que permite la escalación de privilegios no autenticada a través del registro de usuarios…

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2026-0722

Shield Security <= 21.0.8 - Cross-Site Request Forgery to SQL Injection

wp-simple-firewall

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Shield Security (WP Simple Firewall) que afecta a versiones anteriores a la 21.0.10. E…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2026-2716

Client Testimonial Slider <= 2.0 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Testimonial Heading' Setting

wp-client-testimonial

Publicado: 18/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Client Testimonial Slider, que afecta a las versiones anteriores a l…