Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
39.054 vulnerabilidades

wordpress

378

plugin

35773

theme

2903

HIGH CVSS 7.5
PLUGIN authbypass CVE-2026-4020

Gravity SMTP <= 2.1.4 - Unauthenticated Sensitive Information Exposure via REST API

gravitysmtp

Publicado: 30/03/2026

Se ha identificado una vulnerabilidad crítica en el plugin Gravity SMTP, que permite la exposición no autenticada de información sensible a través de la A…

Ver ficha
HIGH CVSS 7.5
PLUGIN authbypass CVE-2026-3124

Download Monitor <= 5.1.7 - Insecure Direct Object Reference to Unauthenticated Arbitrary Order Completion via 'token' and 'order_id'

download-monitor

Publicado: 29/03/2026

Se ha detectado una vulnerabilidad crítica en el plugin Download Monitor, que permite la finalización arbitraria de pedidos sin autenticación. Esta falla …

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-39508

Advanced Coupons for WooCommerce Coupons <= 4.7.1.1 - Authenticated (Contributor+) Stored Cross-Site Scripting

advanced-coupons-for-woocommerce-free

Publicado: 28/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Advanced Coupons para WooCommerce, que afecta a las versiones hasta …

Ver ficha
MEDIUM CVSS 5.3
PLUGIN CVE-2026-39543

Tourfic <= 2.21.4 - Missing Authorization

tourfic

Publicado: 28/03/2026

El plugin Tourfic presenta una vulnerabilidad de autorización faltante en versiones hasta 2.21.4, lo que puede permitir a usuarios no autorizados acceder …

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-2602

Twentig <= 1.9.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'featuredImageSizeWidth'

twentig

Publicado: 28/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Twentig, que afecta a las versiones hasta la 1.9.7. Esta vulnerabili…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-39477

CartFlows <= 2.2.3 - Missing Authorization

cartflows

Publicado: 27/03/2026

Se ha identificado una vulnerabilidad de autorización en el plugin CartFlows, afectando a versiones hasta la 2.2.3. Esta falla puede comprometer la seguri…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN CVE-2026-39501

FOX <= 1.4.5 - Missing Authorization

woocommerce-currency-switcher

Publicado: 27/03/2026

Se ha identificado una vulnerabilidad de autorización en el plugin WooCommerce Currency Switcher, que afecta a las versiones hasta la 1.4.5. Esta falla pu…

Ver ficha
HIGH CVSS 7.5
PLUGIN authbypass CVE-2026-2343

PeproDev Ultimate Invoice < 2.2.6 - Unauthenticated Information Exposure

pepro-ultimate-invoice

Publicado: 27/03/2026

Se ha identificado una vulnerabilidad crítica en el plugin PeproDev Ultimate Invoice, que permite la exposición de información sin necesidad de autenticac…

Ver ficha
MEDIUM CVSS 6.5
PLUGIN disclosure CVE-2026-1307

Ninja Forms <= 3.14.1 - Authenticated (Contributor+) Sensitive Information Disclosure via Block Editor Token

ninja-forms

Publicado: 27/03/2026

Se ha identificado una vulnerabilidad de divulgación de información sensible en el plugin Ninja Forms, afectando a las versiones hasta la 3.14.1. Esta vul…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-32514

Petitioner <= 0.7.3 - Missing Authorization

petitioner

Publicado: 27/03/2026

La vulnerabilidad en el plugin Petitioner, presente en versiones hasta la 0.7.3, se debe a una falta de autorización que puede ser explotada por usuarios …

Ver ficha
HIGH CVSS 8.1
THEME lfi CVE-2026-32505

Kiddy <= 2.0.8 - Unauthenticated Local File Inclusion

kiddy

Publicado: 27/03/2026

La vulnerabilidad de inclusión local de archivos no autenticada en el tema Kiddy, presente en versiones hasta 2.0.8, permite a un atacante acceder a archi…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-2442

Pagelayer <= 2.0.7 - Improper Neutralization of CRLF Sequences to Unauthenticated Email Header Injection via 'email'

pagelayer

Publicado: 27/03/2026

Se ha identificado una vulnerabilidad de inyección de encabezados de correo electrónico no autenticados en el plugin Pagelayer hasta la versión 2.0.7. Est…

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad