Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.182 vulnerabilidades

wordpress

378

plugin

35888

theme

2916

MEDIUM CVSS 5.8

PLUGIN authbypass CVE-2025-12718

Quick Contact Form <= 8.2.6 - Unauthenticated Open Mail Relay

quick-contact-form

Publicado: 16/01/2026

La vulnerabilidad identificada en el plugin Quick Contact Form, hasta la versión 8.2.6, permite un relay de correo abierto sin autenticación. Esta falla p…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2025-14632

Filr – Secure document library <= 1.2.11 - Authenticated (Administrator+) Stored Cross-Site Scripting via HTML Upload

filr-protection

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Filr – Secure document library, que afecta a las versione…

MEDIUM CVSS 5.9

PLUGIN lfi CVE-2025-12002

Feeds for YouTube Pro <= 2.6.0 - Unauthenticated Arbitrary File Read via Path Traversal

youtube-feed-pro

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de lectura de archivos arbitrarios no autenticada en el plugin 'Feeds for YouTube Pro' en versiones hasta la 2.6.0. …

MEDIUM CVSS 5.3

PLUGIN authbypass CVE-2025-14463

Payment Button for PayPal <= 1.2.3.41 - Missing Authorization to Unauthenticated Arbitrary Order Creation

wp-paypal

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin 'Payment Button for PayPal' en versiones hasta la 1.2.3.41. Esta falla p…

MEDIUM CVSS 6.5

PLUGIN CVE-2025-13725

Gutenberg Thim Blocks <= 1.0.1 - Authenticated (Contributor+) Arbitrary File Read via 'iconSVG' Parameter

thim-blocks

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin Gutenberg Thim Blocks, afectando a versiones hasta la 1.0.1. Esta vul…

LOW CVSS 2.2

PLUGIN ssrf CVE-2026-0682

Church Admin <= 5.0.28 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'audio_url' Parameter

church-admin

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin Church Admin, que afecta a versiones hasta la 5.0.28. Esta v…

MEDIUM CVSS 5.3

PLUGIN authbypass CVE-2025-14029

Community Events <= 1.5.6 - Missing Authorization to Unauthenticated Arbitrary Event Approval via 'eventlist' Parameter

community-events

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de bypass de autenticación en el plugin Community Events, que afecta a las versiones hasta la 1.5.6. Esta vulnerabil…

MEDIUM CVSS 5.3

PLUGIN CVE-2025-12825

User Registration Using Contact Form 7 <= 2.5 - Authenticated (Subscriber+) Information Exposure

user-registration-using-contact-form-7

Publicado: 16/01/2026

La vulnerabilidad identificada en el plugin 'User Registration Using Contact Form 7' permite la exposición de información para usuarios autenticados con r…

MEDIUM CVSS 4.3

PLUGIN CVE-2025-12168

Phrase TMS Integration for WordPress <= 4.7.5 - Missing Authorization to Authenticated (Subscriber+) Log Deletion

memsource-connector

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad en el plugin 'Phrase TMS Integration for WordPress' en versiones hasta la 4.7.5, que permite la eliminación de regis…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-0833

Team Section Block <= 2.0.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Social Network Link

team-section

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Team Section Block hasta la versión 2.0.0, que afecta a usuarios autenticados co…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2026-0691

CM E-Mail Blacklist <= 1.6.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'black_email' Parameter

cm-email-blacklist

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin CM E-Mail Blacklist, que afecta a las versiones hasta la 1.6.2. Este…

MEDIUM CVSS 4.9

PLUGIN sqli CVE-2025-12984

Advanced Ads – Ad Manager & AdSense <= 2.0.15 - Authenticated (Admin+) SQL Injection

advanced-ads

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Advanced Ads – Ad Manager & AdSense, afectando a versiones hasta la 2.0.15. Esta falla…