Base de datos de vulnerabilidades

BetterDocs <= 4.3.11 - Missing Authorization to Authenticated (Subscriber+) Unauthorized AI API Usage

betterdocs

Publicado: 23/04/2026

Se ha identificado una vulnerabilidad en el plugin BetterDocs (versiones hasta 4.3.11) que permite el uso no autorizado de la API por parte de usuarios au…

ExactMetrics <= 9.1.2 - Authenticated (Subscriber+) Missing Authorization to Google Ads Access Token Retrieval via AJAX Action 'exactmetrics_ads_get_token'

google-analytics-dashboard-for-wp

Publicado: 23/04/2026

Se ha detectado una vulnerabilidad en el plugin ExactMetrics hasta la versión 9.1.2 que permite a usuarios autenticados con rol de suscriptor o superior a…

Booking Calendar Contact Form <= 1.2.63 - Authenticated (Subscriber+) Insecure Direct Object Reference to Calendar Takeover

booking-calendar-contact-form

Publicado: 23/04/2026

Se ha detectado una vulnerabilidad de tipo IDOR en el plugin Booking Calendar Contact Form, permitiendo a usuarios autenticados acceder y tomar control de…

Royal Addons for Elementor <= 1.7.1056 - Authenticated (Author+) Stored Cross-Site Scripting via Image Caption Field

royal-elementor-addons

Publicado: 23/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Royal Addons for Elementor, afectando a versiones anteriores a 1.7.1…

WP Books Gallery <= 4.8.0 - Missing Authorization to Unauthenticated Settings Update via 'permalink_structure' Parameter

wp-books-gallery

Publicado: 23/04/2026

La extensión WP Books Gallery en versiones hasta la 4.8.0 presenta una vulnerabilidad de omisión de autenticación que permite actualizaciones no autorizad…

Taqnix <= 1.0.3 - Cross-Site Request Forgery to Account Deletion via 'taqnix_delete_my_account' AJAX Action

taqnix

Publicado: 23/04/2026

Una vulnerabilidad de tipo CSRF en el plugin Taqnix, hasta la versión 1.0.3, permite la eliminación de cuentas a través de la acción AJAX 'taqnix_delete_m…

Liaison Site Prober <= 1.2.1 - Missing Authorization to Unauthenticated Information Exposure in '/logs' REST API Endpoint

liaison-site-prober

Publicado: 23/04/2026

Se ha identificado una vulnerabilidad en el plugin Liaison Site Prober (versiones <= 1.2.1) que permite la exposición de información sin autorización a tr…

HubSpot All-In-One Marketing - Forms, Popups, Live Chat <= 11.3.32 - Missing Authorization to Authenticated (Contributor+) Installed Plugin Disclosure

leadin

Publicado: 23/04/2026

Se ha identificado una vulnerabilidad en el plugin HubSpot All-In-One Marketing, versiones hasta 11.3.32, que permite la falta de autorización para usuari…

ITERAS <= 1.8.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

iteras

Publicado: 23/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ITERAS hasta la versión 1.8.2, que permite a usuarios autenticados c…

WP Store Locator <= 2.2.261 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'wpsl_address' Post Meta

wp-store-locator

Publicado: 22/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Store Locator, afectando a versiones anteriores a 2.2.261. Esta f…