Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
38.779 vulnerabilidades

wordpress

378

plugin

35529

theme

2872

MEDIUM CVSS 4.3
PLUGIN csrf CVE-2026-4141

Quran Translations <= 1.7 - Cross-Site Request Forgery to Playlist Settings Form

quran-translations-by-edc

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo CSRF en el plugin Quran Translations, afectando a versiones hasta la 1.7. Esta falla puede ser explotada par…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-3618

Columns by BestWebSoft <= 1.0.3 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'columns' Shortcode 'id' Attribute

columns-bws

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Columns by BestWebSoft, que afecta a versiones anteriores o iguales …

Ver ficha
HIGH CVSS 7.2
PLUGIN upload CVE-2026-4808

Gerador de Certificados – DevApps <= 1.3.6 - Authenticated (Administrator+) Arbitrary File Upload

gerador-de-certificados-devapps

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin Gerador de Certificados – DevApps que permite la carga arbitraria de archivos por usuarios aute…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4871

Sports Club Management <= 1.12.9 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'before' Attribute

sports-club-management

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Sports Club Management, que afecta a las versiones anteriores a 1.12…

Ver ficha
MEDIUM CVSS 5.4
PLUGIN sqli CVE-2026-3781

Attendance Manager <= 0.6.2 - Authenticated (Subscriber+) SQL Injection via 'attmgr_off' Parameter

attendance-manager

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Attendance Manager hasta la versión 0.6.2, que afecta a usuarios autenticados con rol …

Ver ficha
MEDIUM CVSS 5.4
PLUGIN xss CVE-2025-1794

AM LottiePlayer <= 3.6.0 - Authenticated (Author+) Stored Cross-Site Scripting via SVG

am-lottieplayer

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin AM LottiePlayer, afectando a versiones anteriores a la 3.6.0. Este f…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN CVE-2026-3477

PZ Frontend Manager <= 1.0.6 - Missing Authorization to Arbitrary User Deletion via 'dataType' Parameter

pz-frontend-manager

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad en PZ Frontend Manager hasta la versión 1.0.6 que permite la eliminación arbitraria de usuarios sin autorización. Es…

Ver ficha
MEDIUM CVSS 6.5
PLUGIN CVE-2026-3480

WP Blockade <= 0.9.14 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Shortcode Execution via 'shortcode' Parameter

wp-blockade

Publicado: 07/04/2026

La vulnerabilidad en WP Blockade (hasta la versión 0.9.14) permite a usuarios autenticados (nivel Subscriber y superior) ejecutar códigos arbitrarios a tr…

Ver ficha
CRITICAL CVSS 9.8
PLUGIN authbypass CVE-2026-3535

DSGVO Google Web Fonts GDPR <= 1.1 - Unauthenticated Arbitrary File Upload via 'fonturl' Parameter

dsgvo-google-web-fonts-gdpr

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad crítica en el plugin DSGVO Google Web Fonts GDPR que permite la carga de archivos arbitrarios sin necesidad de auten…

Ver ficha
MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-2838

Whole Enquiry Cart for WooCommerce <= 1.2.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'woowhole_success_msg' Parameter

whole-cart-enquiry

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Whole Enquiry Cart para WooCommerce, que afecta a versiones hasta la 1.2.1. Esta…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN privesc CVE-2026-5167

Masteriyo LMS <= 2.1.7 - Unauthenticated Authorization Bypass to Arbitrary Order Completion via Stripe Webhook Endpoint

learning-management-system

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Masteriyo LMS, que afecta a las versiones hasta la 2.1.7. Este fallo per…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN idor CVE-2026-4654

Awesome Support <= 6.3.7 - Authenticated (Subscriber+) Insecure Direct Object Reference to Unauthorized Ticket Reply Access via 'ticket_id' Parameter

awesome-support

Publicado: 07/04/2026

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Awesome Support, que afecta a las versiones hasta la 6.3.7. Esta falla permite a usuarios …

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad