Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
38.779 vulnerabilidades

wordpress

378

plugin

35529

theme

2872

MEDIUM CVSS 4.3
PLUGIN idor CVE-2026-3568

MStore API <= 4.18.3 - Authenticated (Subscriber+) Insecure Direct Object Reference to Arbitrary User Meta Update

mstore-api

Publicado: 08/04/2026

La versión 4.18.3 de MStore API presenta una vulnerabilidad de referencia a objetos directos inseguros (IDOR) que permite a usuarios autenticados (nivel S…

Ver ficha
MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-3574

Experto Dashboard for WooCommerce <= 1.0.4 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Navigation Font Size' Setting

experto-custom-dashboard

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Experto Dashboard para WooCommerce, afectando a versiones hasta 1.0.…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4336

Ultimate FAQ Accordion Plugin <= 2.4.7 - Authenticated (Author+) Stored Cross-Site Scripting via FAQ Content

ultimate-faqs

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Ultimate FAQ Accordion, que afecta a las versiones hasta la 2.4.7. Esta falla pe…

Ver ficha
CRITICAL CVSS 9.8
PLUGIN authbypass CVE-2026-1830

Quick Playground <= 1.3.1 - Missing Authorization to Unauthenticated Arbitrary File Upload

quick-playground

Publicado: 08/04/2026

La extensión Quick Playground presenta una vulnerabilidad crítica que permite la carga de archivos arbitrarios sin necesidad de autenticación. Este fallo …

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-5742

UsersWP <= 1.2.60 - Authenticated (Subscriber+) Stored Cross-Site Scripting via User Badge Link Substitution

userswp

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin UsersWP, que afecta a las versiones hasta la 1.2.60. Esta falla perm…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3005

List category posts <= 0.94.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'catlist' Shortcode

list-category-posts

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin List Category Posts, afectando a versiones hasta la 0.94.0. Esta fal…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-2519

Online Scheduling and Appointment Booking System – Bookly <= 27.0 - Unauthenticated Price Manipulation via 'tips'

bookly-responsive-appointment-booking-tool

Publicado: 08/04/2026

Se ha identificado una vulnerabilidad en el plugin Bookly (versiones <= 27.0) que permite la manipulación no autenticada de precios a través del parámetro…

Ver ficha
MEDIUM CVSS 6.6
PLUGIN rce CVE-2026-39434

Product Feed Manager for WooCommerce – CTX Feed – Support 220+ Shopping & Social Channels <= 6.6.26 - Authenticated (Shop Manager+) PHP Object Injection

webappick-product-feed-for-woocommerce

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en el plugin 'Product Feed Manager for WooCommerce – CTX Feed' en versiones hast…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-39433

WPAMS - Apartment Management System for wordpress < 49.5.3 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Content Deletion

apartment-management

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad en el plugin WPAMS que permite a usuarios autenticados con rol de suscriptor o superior eliminar contenido arbitrari…

Ver ficha
CRITICAL CVSS 9.8
PLUGIN privesc CVE-2026-34901

iControlWP <= 5.5.3 - Unauthenticated Privilege Escalation

worpit-admin-dashboard-plugin

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin iControlWP (versiones <= 5.5.3) que permite la escalación de privilegios sin necesidad de auten…

Ver ficha
HIGH CVSS 8.1
PLUGIN lfi CVE-2026-34895

Softlab Core < 1.2.11 - Unauthenticated Local File Inclusion

softlab-core

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin Softlab Core versiones anteriores a 1.2.11. Esta falla, clasific…

Ver ficha
HIGH CVSS 8.1
PLUGIN lfi CVE-2026-34894

Integrio Core < 1.2.8 - Unauthenticated Local File Inclusion

integrio-core

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin Integrio Core en versiones anteriores a 1.2.8. Esta falla permit…

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad