Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.583 vulnerabilidades

wordpress

378

plugin

37159

theme

3046

MEDIUM CVSS 5.4
PLUGIN CVE-2026-0548

Tutor LMS – eLearning and online course solution <= 3.9.4 - Missing Authorization to Authenticated (Subscriber+) Limited Attachment Deletion

tutor

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad de eliminación de archivos en el plugin Tutor LMS para WordPress, que afecta a las versiones hasta la 3.9.4. Esta fa…

HIGH CVSS 8.1
PLUGIN authbypass CVE-2026-0726

Nexter Extension – Site Enhancements Toolkit <= 4.4.6 - Unauthenticated PHP Object Injection via 'nxt_unserialize_replace'

nexter-extension

Publicado: 20/01/2026

La extensión Nexter, utilizada para mejorar sitios en WordPress, presenta una vulnerabilidad crítica de inyección de objetos PHP no autenticada en version…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-0608

Head Meta Data <= 20251118 - Authenticated (Contributor+) Stored Cross-Site Scripting via Post Meta

head-meta-data

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Head Meta Data, que afecta a las versiones anteriores a la 20260105.…

HIGH CVSS 8.8
PLUGIN CVE-2025-15347

Creator LMS – The LMS for Creators, Coaches, and Trainers <= 1.1.12 - Missing Authorization to Authenticated (Contributor+) Arbitrary Options Update

creatorlms

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad crítica en el plugin Creator LMS, que permite a usuarios autenticados con rol de contribuyente o superior realizar a…

MEDIUM CVSS 5.4
PLUGIN CVE-2025-15043

The Events Calendar <= 6.15.13 - Missing Authorization to Authenticated (Subscriber+) Data Migration Control

the-events-calendar

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad en el plugin The Events Calendar, que afecta a las versiones hasta 6.15.13. Esta falla permite que usuarios autentic…

HIGH CVSS 7.2
PLUGIN xss CVE-2025-15380

NotificationX <= 3.2.0 - Unauthenticated DOM-Based Cross-Site Scripting via 'nx-preview'

notificationx

Publicado: 20/01/2026

La vulnerabilidad identificada en el plugin NotificationX, hasta la versión 3.2.0, permite la ejecución de scripts maliciosos a través de un ataque de Cro…

MEDIUM CVSS 4.3
PLUGIN CVE-2026-0554

NotificationX <= 3.1.11 - Missing Authorization to Authenticated (Contributor+) Analytics Reset

notificationx

Publicado: 20/01/2026

La vulnerabilidad identificada en el plugin NotificationX hasta la versión 3.1.11 permite a usuarios autenticados con rol de contribuyente o superior rest…

CRITICAL CVSS 9.8
PLUGIN privesc CVE-2025-15521

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution <= 3.5.0 - Unauthenticated Privilege Escalation via Account Takeover

academy

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad crítica en el plugin Academy LMS para WordPress, que permite la escalación de privilegios no autenticada a través de…

MEDIUM CVSS 4.3
PLUGIN CVE-2025-12573

Bookingor <= 1.0.12 - Missing Authorization

bookingor

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin Bookingor, que afecta a las versiones hasta la 1.0.12. Esta falla permite a usuarios no…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-24576

UX Flat <= 5.4.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

ux-flat

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin UX Flat, que afecta a versiones hasta la 5.4.0. Esta vulnerabilidad …

MEDIUM CVSS 5.3
PLUGIN CVE-2026-24577

Pie Register <= 3.8.4.8 - Missing Authorization

pie-register

Publicado: 20/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin Pie Register, que afecta a las versiones hasta la 3.8.4.7. Esta falla permite a un atac…

MEDIUM CVSS 4.3
PLUGIN CVE-2026-24578

Admin login URL Change <= 1.1.5 - Missing Authorization

admin-login-url-change

Publicado: 20/01/2026

La vulnerabilidad en el plugin 'Admin Login URL Change' hasta la versión 1.1.5 se debe a una falta de autorización, lo que puede permitir accesos no desea…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad