Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.326 vulnerabilidades

wordpress

378

plugin

35999

theme

2949

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-8200

Mega Elements – Addons for Elementor <= 1.3.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Countdown Timer Widget

mega-elements-addons-for-elementor

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Mega Elements – Addons for Elementor, que afecta a las versiones has…

LOW CVSS 2.7

PLUGIN rce CVE-2025-10173

ShopEngine Elementor WooCommerce Builder Addon – All in One WooCommerce Solution <= 4.8.3 - Insufficient Authorization to Authenticated (Editor+) Settings Update

shopengine

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de autorización insuficiente en el complemento ShopEngine para WordPress, que afecta a las versiones hasta 4.8.3. Es…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-9044

Mapster WP Maps <= 1.20.0 - Authenticated (Contributor+) Stored Cross-Site Scripting

mapster-wp-maps

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Mapster WP Maps, que afecta a versiones hasta la 1.20.0. Esta falla …

MEDIUM CVSS 5.3

PLUGIN authbypass CVE-2025-10745

Banhammer – Monitor Site Traffic, Block Bad Users and Bots <= 3.4.8 - Unauthenticated Protection Mechanism Bypass

banhammer

Publicado: 25/09/2025

La vulnerabilidad en el plugin Banhammer permite eludir el mecanismo de protección no autenticada en versiones hasta la 3.4.8. Esto puede facilitar el acc…

MEDIUM CVSS 4.3

PLUGIN csrf CVE-2025-10377

System Dashboard <= 2.8.20 - Cross-Site Request Forgery

system-dashboard

Publicado: 25/09/2025

El plugin System Dashboard hasta la versión 2.8.20 presenta una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) que puede ser explotada por ataca…

MEDIUM CVSS 4.9

PLUGIN sqli CVE-2025-10036

Featured Image from URL (FIFU) <= 5.2.7 - Authenticated (Admin+) SQL Injection

featured-image-from-url

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin 'Featured Image from URL' (FIFU) en versiones hasta la 5.2.7, que afecta a los adminis…

MEDIUM CVSS 5.3

PLUGIN authbypass CVE-2025-9985

Featured Image from URL (FIFU) <= 5.2.7 - Unauthenticated Information Exposure via Log File

featured-image-from-url

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de exposición de información no autenticada en el plugin 'Featured Image from URL' (FIFU) en versiones hasta la 5.2.…

MEDIUM CVSS 5.3

PLUGIN CVE-2025-9984

Featured Image from URL (FIFU) <= 5.2.7 - Missing Authorization to Password Protected Post Disclosure

featured-image-from-url

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de nivel medio en el plugin 'Featured Image from URL' (FIFU) en versiones hasta la 5.2.7, que permite la divulgación…

MEDIUM CVSS 4.9

PLUGIN sqli CVE-2025-10037

Featured Image from URL (FIFU) <= 5.2.7 - Authenticated (Admin+) SQL Injection

featured-image-from-url

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin 'Featured Image from URL' (FIFU) en versiones hasta la 5.2.7. Esta falla permite a usu…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-9490

Popup Maker <= 1.20.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via title Parameter

popup-maker

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Popup Maker, que afecta a las versiones hasta la 1.20.6. Esta falla …

HIGH CVSS 7.2

PLUGIN upload CVE-2025-10747

WP-DownloadManager <= 1.68.11 - Authenticated (Admin+) Arbitrary File Upload

wp-downloadmanager

Publicado: 25/09/2025

Se ha identificado una vulnerabilidad de alta gravedad en el plugin WP-DownloadManager, que permite la carga arbitraria de archivos por usuarios autentica…

MEDIUM CVSS 5.4

THEME ssrf CVE-2025-10137

Snow Monkey <= 29.1.5 - Unauthenticated Blind Server-Side Request Forgery

snow-monkey

Publicado: 25/09/2025

La vulnerabilidad identificada en el tema Snow Monkey hasta la versión 29.1.5 permite realizar un ataque de tipo Server-Side Request Forgery (SSRF) sin au…