Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 4.9

PLUGIN sqli CVE-2026-6448

Quiz and Survey Master (QSM) <= 11.1.2 - Authenticated (Admin+) SQL Injection via 'order' and 'limit' Parameters

quiz-master-next

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Quiz and Survey Master (QSM) hasta la versión 11.1.2. Este fallo permite a administrad…

MEDIUM CVSS 4.3

PLUGIN csrf CVE-2026-9719

LatePoint <= 5.6.0 - Cross-Site Request Forgery via invoices__change_status Action

latepoint

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin LatePoint hasta la versión 5.6.0. Este fallo permite a un ata…

MEDIUM CVSS 4.3

PLUGIN disclosure CVE-2026-8976

RSS Aggregator by Feedzy <= 5.1.7 - Missing Authorization to Authenticated (Contributor+) Import Job Creation, Execution, Purge, Log Clearing, and Information Disclosure via Multiple AJAX Sub-Actions

feedzy-rss-feeds

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad en el plugin Feedzy RSS Feeds hasta la versión 5.1.7, que permite la creación y ejecución de trabajos de importación…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-9281

Master Addons For Elementor <= 3.1.0 - Authenticated (Author+) Stored Cross-Site Scripting via 'jtlma_custom_js' Page Setting (Custom JS Extension)

master-addons

Publicado: 05/06/2026

Se ha detectado una vulnerabilidad de tipo XSS almacenado en el plugin Master Addons para Elementor, que afecta a versiones hasta la 3.1.0. Esta falla pue…

MEDIUM CVSS 4.3

PLUGIN disclosure CVE-2026-9008

Page-list <= 6.2 - Missing Authorization to Authenticated (Contributor+) Sensitive Information Disclosure via Shortcode Attributes

page-list

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad en el plugin Page-list (versiones <= 6.2) que permite la divulgación de información sensible a usuarios autenticados…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-8438

All-In-One Security (AIOS) <= 5.4.7 - Unauthenticated Stored Cross-Site Scripting via REST API Request Path

all-in-one-wp-security-and-firewall

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin All-In-One Security (AIOS) en versiones hasta 5.4.7. Esta falla perm…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-8901

Integration for Freshsales <= 1.0.15 - Unauthenticated Stored Cross-Site Scripting via Form Submission Data

crm-integration-freshworks-any-form

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'CRM Integration for Freshsales' en versiones anteriores a 1.0.16. E…

MEDIUM CVSS 4.9

PLUGIN lfi CVE-2026-9197

Smart Slider 3 <= 3.5.1.36 - Authenticated (Administrator+) Path Traversal to Arbitrary File Read via 'src'/'srcset' Attribute in HTML Export

smart-slider-3

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo Local File Inclusion (LFI) en el plugin Smart Slider 3, que permite a un administrador autenticado acceder a…

MEDIUM CVSS 4.4

PLUGIN xss CVE-2026-8991

Drag and Drop Multiple File Upload for Contact Form 7 <= 1.3.9.7 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'drag_n_drop_text' and 'drag_n_drop_browse_text' Settings

drag-and-drop-multiple-file-upload-contact-form-7

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'Drag and Drop Multiple File Upload for Contact Form 7', que afecta a versiones …

MEDIUM CVSS 4.9

PLUGIN lfi CVE-2026-7565

LearnPress <= 4.1.4 - Authenticated (Administrator+) Path Traversal to Arbitrary File Read via 'import-user-file' Parameter

learnpress-import-export

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo Local File Inclusion (LFI) en el plugin LearnPress, que afecta a versiones hasta la 4.1.4. Esta falla permit…

MEDIUM CVSS 6.1

PLUGIN xss CVE-2026-9280

Ad Inserter <= 2.8.15 - Reflected Cross-Site Scripting via URL Parameters in iframe Mode

ad-inserter

Publicado: 05/06/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin Ad Inserter, que afecta a las versiones hasta 2.8.15. Este fallo permite la inyección de sc…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-7795

Click to Chat <= 4.39 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'num' Shortcode Parameter

click-to-chat-for-whatsapp

Publicado: 05/06/2026

Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Click to Chat para WhatsApp, afectando a versiones hasta la 4.39. Esta …