Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

HIGH CVSS 7.5

PLUGIN privesc CVE-2026-8176

LatePoint <= 5.5.1 - Authenticated (Agent+) Privilege Escalation to Administrator via IDOR in OsOrdersController::create_or_update + Unauthenticated Customer-Cabinet Password Reset

latepoint

Publicado: 15/06/2026

Se ha identificado una vulnerabilidad crítica en el plugin LatePoint, que permite la escalada de privilegios a administrador mediante un fallo de control …

MEDIUM CVSS 6.5

PLUGIN rce CVE-2026-2381

WooCommerce Stripe Payment Gateway <= 10.7.0 - Missing Authorization to Unauthenticated Order Status Manipulation via 'order' Parameter

woocommerce-gateway-stripe

Publicado: 15/06/2026

Se ha detectado una vulnerabilidad en el plugin WooCommerce Stripe Payment Gateway, que permite a usuarios no autenticados manipular el estado de los pedi…

HIGH CVSS 8.1

THEME lfi CVE-2026-52707

Kastell <= 2.0 - Unauthenticated Local File Inclusion

kastell

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el tema Kastell, afectando a las versiones hasta 2.0. Esta falla de alta s…

HIGH CVSS 7.5

PLUGIN rce CVE-2025-69131

WordPress & WooCommerce Scraper Plugin, Import Data from Any WebSite. <= 1.0.7 - Unauthenticated Arbitrary File Download

wp_scraper

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin WP Scraper para WordPress y WooCommerce, que permite la descarga ar…

CRITICAL CVSS 9.8

PLUGIN rce CVE-2025-69129

WordPress & WooCommerce Scraper Plugin, Import Data from Any WebSite. <= 1.0.7 - Unauthenticated Arbitrary File Upload

wp_scraper

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad crítica en el plugin WP Scraper (versión <= 1.0.7) que permite la ejecución remota de código (RCE) mediante la carga…

HIGH CVSS 7.5

PLUGIN authbypass CVE-2026-27400

BookPro <= 1.1.0 - Unauthenticated Arbitrary File Deletion

ovabookpro

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad crítica en el plugin BookPro (versiones <= 1.1.0) que permite la eliminación arbitraria de archivos sin autenticació…

HIGH CVSS 7.2

PLUGIN ssrf CVE-2026-46698

Fediverse Embeds <= 1.5.7 - Unauthenticated Server-Side Request Forgery

fediverse-embeds

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin Fediverse Embeds en versiones hasta 1.5.7. Esta falla puede …

HIGH CVSS 7.2

PLUGIN ssrf CVE-2026-46697

Fediverse Embeds <= 1.5.7 - Unauthenticated Server-Side Request Forgery

fediverse-embeds

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin Fediverse Embeds en versiones hasta 1.5.7. Esta falla de alt…

MEDIUM CVSS 4.3

PLUGIN CVE-2026-24618

Hash Elements <= 1.5.4 - Authenticated (Contributor+) Information Exposure

hash-elements

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad en el plugin Hash Elements, versión 1.5.4, que permite la exposición de información a usuarios autenticados con rol …

MEDIUM CVSS 5.3

PLUGIN lfi CVE-2026-52703

FastDup – Fastest WordPress Migration & Duplicator <= 2.7.2 - Unauthenticated Path Traversal

fastdup

Publicado: 12/06/2026

Se ha identificado una vulnerabilidad de tipo Path Traversal en el plugin FastDup, afectando a las versiones hasta la 2.7.2. Este fallo de seguridad permi…

HIGH CVSS 8.1

THEME authbypass CVE-2026-27429

Nifty <= 1.4.1 - Unauthenticated PHP Object Injection

nifty

Publicado: 12/06/2026

La vulnerabilidad en Nifty hasta la versión 1.4.1 permite la inyección no autenticada de objetos PHP, lo que puede comprometer la seguridad del sitio. Est…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-52702

SEO Redirection Plugin – 301 Redirect Manager <= 9.17 - Unauthenticated Stored Cross-Site Scripting

seo-redirection

Publicado: 12/06/2026

El plugin SEO Redirection presenta una vulnerabilidad de tipo XSS almacenado no autenticado, que puede ser explotada por atacantes para inyectar scripts m…