Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

38.779 vulnerabilidades

wordpress

378

plugin

35529

theme

2872

HIGH CVSS 7.5

PLUGIN sqli CVE-2026-39531

WP Directory Kit <= 1.5.0 - Unauthenticated SQL Injection

wpdirectorykit

Publicado: 13/04/2026

Se ha detectado una vulnerabilidad de inyección SQL no autenticada en WP Directory Kit, versiones hasta 1.5.0. Esta falla, catalogada con una severidad al…

HIGH CVSS 8.1

PLUGIN CVE-2026-39468

Meta Box <= 5.11.1 - Authenticated (Contributor+) Arbitrary File Deletion

meta-box

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Meta Box hasta la versión 5.11.1 que permite la eliminación arbitraria de archivos por usuarios…

MEDIUM CVSS 6.1

PLUGIN authbypass CVE-2026-6203

User Registration & Membership <= 5.1.4 - Unauthenticated Open Redirect via 'redirect_to_on_logout' Parameter

user-registration

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de redirección no autenticada en el plugin User Registration & Membership hasta la versión 5.1.4. Esta falla permite…

CRITICAL CVSS 9.1

PLUGIN authbypass CVE-2026-4365

LearnPress <= 4.3.2.8 - Missing Authorization to Unauthenticated Arbitrary Quiz Answer Deletion

learnpress

Publicado: 13/04/2026

La extensión LearnPress presenta una vulnerabilidad crítica que permite a usuarios no autenticados eliminar respuestas de quizzes arbitrariamente. Esta br…

HIGH CVSS 7.5

PLUGIN sqli CVE-2026-4352

JetEngine <= 3.8.6.1 - Unauthenticated SQL Injection via '_cct_search' Parameter

jet-engine

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de inyección SQL en JetEngine hasta la versión 3.8.6.1, que permite a un atacante no autenticado ejecutar consultas …

HIGH CVSS 7.2

PLUGIN lfi CVE-2026-6227

BackWPup <= 5.6.6 - Authenticated (Administrator+) Local File Inclusion via 'block_name' Parameter

backwpup

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de inclusión local de archivos (LFI) en el plugin BackWPup, que afecta a versiones hasta la 5.6.6. Esta falla, con u…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-4388

Form Maker by 10Web <= 1.15.40 - Unauthenticated Stored Cross-Site Scripting via Matrix Field Text Box

form-maker

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Form Maker de 10Web, que afecta a versiones hasta la 1.15.40. Esta falla permite…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-1607

Surbma | Booking.com <= 2.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode

surbma-bookingcom-shortcode

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Surbma Booking.com, que afecta a versiones hasta la 2.1. Este fallo permite a us…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-4059

ShopLentor <= 3.3.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'button_text' Shortcode Attribute

woolentor-addons

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Woolentor hasta la versión 3.3.5, que puede ser explotada por usuari…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2026-4479

WholeSale Products Dynamic Pricing Management WooCommerce <= 1.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via Plugin Settings

wholesale-products-dynamic-pricing-management-woocommerce

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'WholeSale Products Dynamic Pricing Management' para WooCommerce, que afecta a v…

HIGH CVSS 7.2

PLUGIN CVE-2026-3017

Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts <= 3.0.12 - Authenticated (Administrator+) PHP Object Injection

post-carousel

Publicado: 13/04/2026

Se ha detectado una vulnerabilidad crítica en el plugin Smart Post Show (versiones <= 3.0.12) que permite la inyección de objetos PHP por parte de adminis…

MEDIUM CVSS 6.5

PLUGIN rce CVE-2026-2582

Germanized for WooCommerce <= 3.20.5 - Unauthenticated Arbitrary Shortcode Execution

woocommerce-germanized

Publicado: 13/04/2026

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin 'Germanized for WooCommerce' en versiones hasta la 3.20.5. Esta fal…