Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.583 vulnerabilidades

wordpress

378

plugin

37159

theme

3046

MEDIUM CVSS 6.4
PLUGIN xss CVE-2025-13531

Stylish Order Form Builder <= 1.0 - Authenticated (Subscriber+) Stored Cross-Site Scripting via 'product_name' Parameter

stylish-order-form-builder

Publicado: 06/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Stylish Order Form Builder en versiones anteriores a 1.0. Esta vulne…

MEDIUM CVSS 4.3
PLUGIN CVE-2025-14370

Quote Comments <= 3.0.0 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Settings Update

quote-comments

Publicado: 06/01/2026

Se ha identificado una vulnerabilidad de autorización en el plugin Quote Comments, que permite a usuarios autenticados con rol de suscriptor o superior re…

HIGH CVSS 7.3
PLUGIN privesc CVE-2025-15364

Download Manager <= 3.3.40 - Unauthenticated Limited Privilege Escalation via updatePassword

download-manager

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de escalación de privilegios en el plugin Download Manager, que afecta a las versiones hasta la 3.3.40. Esta falla p…

MEDIUM CVSS 6.5
PLUGIN authbypass CVE-2025-11723

Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin <= 1.6.9.5 - Unauthenticated Sensitive Information Exposure

simply-schedule-appointments

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de tipo bypass de autenticación en el plugin 'Simply Schedule Appointments' hasta la versión 1.6.9.5. Esta falla per…

MEDIUM CVSS 4.9
PLUGIN sqli CVE-2025-13409

Form Vibes – Database Manager for Forms <= 1.4.13 - Authenticated (Admin+) SQL Injection

form-vibes

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Form Vibes, que afecta a las versiones hasta la 1.4.13. Esta vulnerabilidad permite a …

MEDIUM CVSS 6.5
PLUGIN sqli CVE-2025-14153

Page Expire Popup/Redirection for WordPress <= 1.0 - Authenticated (Author+) SQL Injection via 'id' Shortcode Attribute

page-expire-popup

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Page Expire Popup/Redirection para WordPress, que afecta a las versiones hasta 1.0. Es…

MEDIUM CVSS 6.5
PLUGIN lfi CVE-2026-0604

FastDup <= 2.7 - Authenticated (Contributor+) Path Traversal via 'dir_path' REST Parameter

fastdup

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de tipo traversal en el plugin FastDup, que afecta a versiones anteriores a la 2.7.1. Esta vulnerabilidad permite a …

MEDIUM CVSS 6.5
PLUGIN sqli CVE-2025-13652

CBX Bookmark & Favorite <= 2.0.4 - Authenticated (Subscriber+) SQL Injection via `orderby` Parameter

cbxwpbookmark

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin CBX Bookmark & Favorite, que afecta a versiones hasta la 2.0.4. Esta vulnerabilidad pe…

MEDIUM CVSS 5.3
PLUGIN rce CVE-2025-14034

ilGhera Support System for WooCommerce <= 1.2.6 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Ticket Deletion

wc-support-system

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad en el plugin ilGhera Support System para WooCommerce, que permite la eliminación arbitraria de tickets sin la autori…

MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2025-11370

Depicter <= 4.0.7 - Missing Authorization to Unauthenticated Display Rule Updates

depicter

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de tipo bypass de autorización en el plugin Depicter, que afecta a las versiones hasta la 4.0.7. Esta falla permite …

MEDIUM CVSS 6.4
PLUGIN xss CVE-2025-13746

ForumWP – Forum & Discussion Board <= 2.1.6 - Authenticated (Subscriber+) Stored Cross-Site Scripting via Display Name

forumwp

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin ForumWP, que afecta a las versiones hasta la 2.1.6. Esta vulnerabili…

CRITICAL CVSS 9.8
PLUGIN privesc CVE-2025-14996

AS Password Field In Default Registration Form <= 2.0.0 - Unauthenticated Privilege Escalation via Account Takeover

as-password-field-in-default-registration-form

Publicado: 05/01/2026

Se ha identificado una vulnerabilidad crítica en el plugin 'AS Password Field In Default Registration Form' que permite la escalación de privilegios no au…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad