Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.182 vulnerabilidades

wordpress

378

plugin

35888

theme

2916

HIGH CVSS 7.2

PLUGIN xss CVE-2025-69318

JobWP <= 2.4.5 - Unauthenticated Stored Cross-Site Scripting

jobwp

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin JobWP, que afecta a las versiones hasta la 2.4.5. Esta vulnerabilida…

MEDIUM CVSS 5.3

PLUGIN CVE-2025-68039

BackItUp <= 2.1.0 - Missing Authorization

wp-backitup

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin BackItUp, afectando a versiones anteriores a la 2.1.0. Esta vulnerabilidad tiene una se…

HIGH CVSS 7.2

PLUGIN xss CVE-2025-67960

WorkScout-Core <= 1.7.06 - Unauthenticated Stored Cross-Site Scripting

workscout-core

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WorkScout-Core, que afecta a las versiones hasta la 1.7.06. Esta vul…

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-68857

Paid Downloads <= 3.15 - Unauthenticated SQL Injection

paid-downloads

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Paid Downloads, que afecta a versiones anteriores a la 3.15. Esta vulnerabilid…

HIGH CVSS 7.2

PLUGIN xss CVE-2025-68866

Dinatur <= 1.18 - Unauthenticated Stored Cross-Site Scripting

dinatur

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Dinatur, que afecta a versiones hasta la 1.18. Esta vulnerabilidad p…

MEDIUM CVSS 5.4

PLUGIN CVE-2026-24564

Textmetrics <= 3.6.5 - Authenticated (Subscriber+) Arbitrary Shortcode Execution

webtexttool

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad en el plugin Textmetrics hasta la versión 3.6.3, que permite la ejecución arbitraria de shortcodes para usuarios aut…

HIGH CVSS 8.8

PLUGIN upload CVE-2025-67968

Real Homes CRM <= 1.0.0 - Authenticated (Subscriber+) Arbitrary File Upload

realhomes-crm

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad crítica en el plugin Real Homes CRM, que permite la carga arbitraria de archivos por usuarios autenticados con rol d…

HIGH CVSS 8.8

PLUGIN privesc CVE-2025-67966

Lawyer Directory <= 1.3.3 - Authenticated (Subscriber+) Privilege Escalation

lawyer-directory

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de escalada de privilegios en el plugin Lawyer Directory, que afecta a versiones hasta la 1.3.3. Este fallo permite …

MEDIUM CVSS 4.3

PLUGIN CVE-2026-24569

Media Library File Size <= 1.6.7 - Missing Authorization

media-library-file-size

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin 'Media Library File Size' hasta la versión 1.6.7. Esta vulnerabilidad puede permitir a …

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2025-69180

Ultra Portfolio <= 6.7 - Authenticated (Subscriber+) SQL Injection

ultra-portfolio

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Ultra Portfolio hasta la versión 6.7, que afecta a usuarios autenticados con rol de su…

CRITICAL CVSS 9.1

PLUGIN authbypass CVE-2025-67963

Movie Booking <= 1.1.5 - Unauthenticated Arbitrary File Deletion

movie-booking

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad crítica en el plugin Movie Booking, que permite la eliminación arbitraria de archivos sin autenticación. Esta falla …

MEDIUM CVSS 6.4

PLUGIN ssrf CVE-2025-67961

WPO365 <= 40.0 - Authenticated (Subscriber+) Server-Side Request Forgery

wpo365-login

Publicado: 21/01/2026

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin WPO365 en versiones hasta la 40.0. Esta vulnerabilidad podrí…