Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.583 vulnerabilidades

wordpress

378

plugin

37159

theme

3046

MEDIUM CVSS 6.5
PLUGIN rce CVE-2025-15260

MyRewards – Loyalty Points and Rewards for WooCommerce <= 5.6.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Loyalty Rule Modification

woorewards

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad en el plugin MyRewards para WooCommerce, que permite a usuarios autenticados con rol de suscriptor o superior modifi…

MEDIUM CVSS 5.3
PLUGIN rce CVE-2026-0679

Fortis for WooCommerce <= 1.2.0 - Missing Authorization to Unauthenticated Arbitrary Order Status Update to Paid via 'wc-api' Endpoint

fortis-for-woocommerce

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad en el plugin Fortis for WooCommerce, que permite la actualización no autorizada del estado de pedidos a 'pagado' a t…

HIGH CVSS 7.5
PLUGIN authbypass CVE-2025-15285

SEO Flow by LupsOnline <= 2.2.1 - Unauthenticated Arbitrary Post/Category Modification

lupsonline-link-netwerk

Publicado: 03/02/2026

La vulnerabilidad en el plugin SEO Flow by LupsOnline permite la modificación arbitraria de publicaciones y categorías sin autenticación, lo que represent…

HIGH CVSS 7.2
PLUGIN xss CVE-2025-15386

Responsive Lightbox & Gallery < 2.6.1 - Unauthenticated Stored Cross-Site Scripting

responsive-lightbox

Publicado: 03/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Responsive Lightbox & Gallery en versiones anteriores a la 2.6.1. Es…

HIGH CVSS 7.5
PLUGIN lfi CVE-2026-39538

Mikado Core <= 1.6 - Authenticated (Contributor+) Local File Inclusion

mikado-core

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de inclusión de archivos locales (LFI) en el plugin Mikado Core, que afecta a versiones hasta la 1.6. Este fallo de …

MEDIUM CVSS 5.3
PLUGIN CVE-2026-39585

Booktics <= 1.0.16 - Missing Authorization

booktics

Publicado: 02/02/2026

La extensión Booktics presenta una vulnerabilidad de falta de autorización en versiones hasta la 1.0.16, lo que puede permitir a atacantes no autorizados …

MEDIUM CVSS 5.3
PLUGIN idor CVE-2026-0909

WP ULike <= 4.8.3.1 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary Log Deletion via 'id' Parameter

wp-ulike

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin WP ULike, que permite la eliminación arbitraria de registros para usuarios autenticados co…

MEDIUM CVSS 5.4
PLUGIN xss CVE-2025-14274

Unlimited Elements for Elementor <= 2.0.1 - Authenticated (Contributor+) Stored Cross-Site Scripting via Border Hero Widget

unlimited-elements-for-elementor

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Unlimited Elements for Elementor' en versiones hasta la 2.0.1. Esta…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-0950

Spectra Gutenberg Blocks <= 2.19.17 - Unauthenticated Information Disclosure in Sensitive Data

ultimate-addons-for-gutenberg

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin 'Ultimate Addons for Gutenberg', que permite la divulgación no autentic…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1210

Happy Addons for Elementor <= 3.20.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via '_elementor_data' Meta Field

happy-elementor-addons

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Happy Addons for Elementor, que afecta a las versiones hasta la 3.20…

HIGH CVSS 7.2
PLUGIN xss CVE-2026-1065

Form Maker by 10Web <= 1.15.35 - Unauthenticated Stored Cross-Site Scripting via SVG file

form-maker

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Form Maker de 10Web, que afecta a versiones hasta la 1.15.35. Este f…

HIGH CVSS 7.2
PLUGIN xss CVE-2026-0617

LatePoint – Calendar Booking Plugin for Appointments and Events <= 5.2.5 - Unauthenticated Stored Cross-Site Scripting

latepoint

Publicado: 02/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin LatePoint para WordPress, que afecta a las versiones hasta la 5.2.5.…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad