Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.583 vulnerabilidades

wordpress

378

plugin

37159

theme

3046

MEDIUM CVSS 5.3
PLUGIN CVE-2026-24982

Spectra <= 2.19.17 - Missing Authorization

ultimate-addons-for-gutenberg

Publicado: 17/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin Ultimate Addons for Gutenberg (Spectra) que afecta a las versiones hasta la 2.19.17. Es…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-24589

Cargus <= 1.5.8 - Unauthenticated Information Exposure

cargus

Publicado: 17/01/2026

La vulnerabilidad identificada en el plugin Cargus, hasta la versión 1.5.8, permite la exposición no autenticada de información, lo que puede comprometer …

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-25005

Frontend File Manager Plugin <= 23.5 - Unauthenticated Insecure Direct Object Reference

nmedia-user-file-uploader

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo 'Insecure Direct Object Reference' en el plugin NMedia User File Uploader, que afecta a versiones hasta la 2…

MEDIUM CVSS 6.5
PLUGIN CVE-2026-25003

Client Portal – Private user pages and login <= 1.2.1 - Missing Authorization

client-portal

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin Client Portal, que permite el acceso no autorizado a páginas privadas de usuarios. Esto…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2025-14075

WP Hotel Booking <= 2.2.7 - Unauthenticated Sensitive Information Exposure via 'email' Parameter

wp-hotel-booking

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad en el plugin WP Hotel Booking, que permite la exposición no autenticada de información sensible a través del parámet…

MEDIUM CVSS 6.5
PLUGIN rce CVE-2025-14450

Wallet System for WooCommerce <= 2.7.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Wallet Balance Manipulation

wallet-system-for-woocommerce

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad en el plugin 'Wallet System for WooCommerce' que permite a usuarios autenticados con rol de Suscriptor o superior ma…

MEDIUM CVSS 5.8
PLUGIN authbypass CVE-2025-12718

Quick Contact Form <= 8.2.6 - Unauthenticated Open Mail Relay

quick-contact-form

Publicado: 16/01/2026

La vulnerabilidad identificada en el plugin Quick Contact Form, hasta la versión 8.2.6, permite un relay de correo abierto sin autenticación. Esta falla p…

MEDIUM CVSS 4.4
PLUGIN xss CVE-2025-14632

Filr – Secure document library <= 1.2.11 - Authenticated (Administrator+) Stored Cross-Site Scripting via HTML Upload

filr-protection

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado en el plugin Filr – Secure document library, que afecta a las versione…

MEDIUM CVSS 5.9
PLUGIN lfi CVE-2025-12002

Feeds for YouTube Pro <= 2.6.0 - Unauthenticated Arbitrary File Read via Path Traversal

youtube-feed-pro

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de lectura de archivos arbitrarios no autenticada en el plugin 'Feeds for YouTube Pro' en versiones hasta la 2.6.0. …

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2025-14463

Payment Button for PayPal <= 1.2.3.41 - Missing Authorization to Unauthenticated Arbitrary Order Creation

wp-paypal

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin 'Payment Button for PayPal' en versiones hasta la 1.2.3.41. Esta falla p…

MEDIUM CVSS 6.5
PLUGIN CVE-2025-13725

Gutenberg Thim Blocks <= 1.0.1 - Authenticated (Contributor+) Arbitrary File Read via 'iconSVG' Parameter

thim-blocks

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin Gutenberg Thim Blocks, afectando a versiones hasta la 1.0.1. Esta vul…

LOW CVSS 2.2
PLUGIN ssrf CVE-2026-0682

Church Admin <= 5.0.28 - Authenticated (Administrator+) Blind Server-Side Request Forgery via 'audio_url' Parameter

church-admin

Publicado: 16/01/2026

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin Church Admin, que afecta a versiones hasta la 5.0.28. Esta v…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad