Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.583 vulnerabilidades

wordpress

378

plugin

37159

theme

3046

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1755

Menu Icons by ThemeIsle <= 0.13.20 - Authenticated (Author+) Stored Cross-Site Scripting

menu-icons

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin 'Menu Icons by ThemeIsle' en versiones hasta la 0.13.20. Esta vulnerabilidad per…

HIGH CVSS 8.8
PLUGIN upload CVE-2026-1756

WP FOFT Loader <= 2.1.39 - Authenticated (Author+) Arbitrary File Upload

wp-foft-loader

Publicado: 03/02/2026

La vulnerabilidad en el plugin WP FOFT Loader, identificada como CVE-2026-1756, permite la carga arbitraria de archivos por usuarios autenticados con rol …

MEDIUM CVSS 5.3
PLUGIN rce CVE-2025-15482

Chapa Payment Gateway Plugin for WooCommerce <= 1.0.3 - Unauthenticated Sensitive Information Exposure

chapa-payment-gateway-for-woocommerce

Publicado: 03/02/2026

El plugin Chapa Payment Gateway para WooCommerce, en versiones hasta la 1.0.3, presenta una vulnerabilidad que permite la exposición no autenticada de inf…

HIGH CVSS 7.5
PLUGIN sqli CVE-2025-15268

Infility Global <= 2.14.46 - Unauthenticated SQL Injection via Predictable API Key and IP Whitelist Bypass

infility-global

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad crítica en el plugin Infility Global, que permite la inyección SQL no autenticada mediante una clave API predecible …

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-0681

Extended Random Number Generator <= 1.1 - Authenticated (Administrator+) Stored Cross-Site Scripting via Settings

extended-random-number-generator

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Extended Random Number Generator, que afecta a versiones anteriores …

MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-0743

WP Content Permission <= 1.2 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'ohmem-message' Parameter

wp-content-permission

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin WP Content Permission, que afecta a versiones anteriores a la 1.2. E…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-0742

Smart Appointment & Booking <= 1.0.7 - Authenticated (Subscriber+) Stored Cross-Site Scripting via saab_save_form_data AJAX Action

smart-appointment-booking

Publicado: 03/02/2026

La vulnerabilidad identificada en el plugin Smart Appointment & Booking hasta la versión 1.0.7 permite la ejecución de scripts maliciosos a través de una …

MEDIUM CVSS 4.9
PLUGIN CVE-2025-15487

Code Explorer <= 1.4.6 - Authenticated (Administrator+) Arbitrary File Read via 'file' Parameter

code-explorer

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin Code Explorer, que afecta a las versiones hasta la 1.4.6. Esta falla …

MEDIUM CVSS 4.9
PLUGIN sqli CVE-2026-0816

All push notification for WP <= 1.5.3 - Authenticated (Administrator+) SQL Injection via 'delete_id' Parameter

all-push-notification

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin 'All Push Notification' para WordPress, que afecta a las versiones anteriores a la 1.5…

MEDIUM CVSS 4.9
PLUGIN sqli CVE-2026-1370

SIBS - WooCommerce <= 2.2.0 - Authenticated (Admin+) SQL Injection via 'referencedId' Parameter

sibs-woocommerce

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin SIBS - WooCommerce en versiones hasta la 2.2.0. Esta vulnerabilidad permite a un usuar…

HIGH CVSS 8.8
PLUGIN lfi CVE-2025-15368

SportsPress <= 2.7.26 - Authenticated (Contributor+) Local File Inclusion via Shortcode

sportspress

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de inclusión local de archivos (LFI) en el plugin SportsPress, que afecta a las versiones hasta la 2.7.26. Esta vuln…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2025-15507

Magic Import Document Extractor <= 1.0.5 - Missing Authorization to Unauthenticated Plugin License Status Modification

magic-import-document-extractor

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Magic Import Document Extractor, que afecta a versiones anteriores a la …

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad