Base de datos de vulnerabilidades

ProjectList <= 0.3.0 - Authenticated (Editor+) SQL Injection via 'id' Parameter

projectlist

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin ProjectList, afectando a las versiones hasta la 0.3.0. Esta falla permite a usuarios a…

Peer Publish <= 1.0 - Cross-Site Request Forgery

peer-publish

Publicado: 24/11/2025

La vulnerabilidad identificada en el plugin Peer Publish hasta la versión 1.0 es un fallo de tipo Cross-Site Request Forgery (CSRF), que permite a un atac…

Bookme <= 4.2 - Authenticated (Admin+) SQL Injection via 'filter[status]' Parameter

bookme-free-appointment-booking-system

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Bookme, que afecta a versiones hasta la 4.2. Este fallo permite a usuarios autenticado…

Refund Request for WooCommerce <= 1.0 - Missing Authorization to Authenticated (Subscriber+) Refund Status Update

refund-request-for-woocommerce

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo RCE en el plugin Refund Request for WooCommerce, que afecta a versiones hasta la 1.0. Esta falla permite a u…

Just Highlight <= 1.0.3 - Authenticated (Administrator+) Stored Cross-Site Scripting via 'Highlight Color' Setting

just-highlight

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Just Highlight en versiones hasta la 1.0.3, que afecta a los adminis…

Locker Content <= 1.0.0 - Unauthenticated Information Exposure

locker-content

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin Locker Content, que permite la exposición no autenticada de información…

Wishlist for WooCommerce <= 1.1.3 - Insecure Direct Object Reference to Unauthenticated Wishlist Manipulation

th-wishlist

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de referencia a objetos inseguros en el plugin 'Wishlist for WooCommerce' hasta la versión 1.1.3, permitiendo la man…

PropertyHive <= 2.1.12 - Missing Authorization

propertyhive

Publicado: 24/11/2025

La vulnerabilidad identificada en el plugin PropertyHive, con versiones hasta la 2.1.12, se debe a una falta de autorización que puede ser explotada. Esta…

Conditional Maintenance Mode for WordPress <= 1.0.0 - Cross-Site Request Forgery

maintenance-mode-based-on-user-roles

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin 'Conditional Maintenance Mode' para WordPress en versiones ha…

Job Board by BestWebSoft <= 1.2.1 - Cross-Site Request Forgery to Stored Cross-Site Scripting via $_GET Array Storage

job-board

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) que puede llevar a un ataque de Cross-Site Scripting (XSS) en el plugin Jo…

Ace Post Type Builder <= 1.9 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Custom Taxonomy Deletion via 'taxonomy' Parameter

ace-post-type-builder

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad en el plugin Ace Post Type Builder, que permite la eliminación arbitraria de taxonomías personalizadas para usuarios…

Frontend File Manager Plugin <= 23.4 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary File Renaming

nmedia-user-file-uploader

Publicado: 24/11/2025

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin Frontend File Manager, que permite a usuarios autenticados renombrar archivos de manera ar…