Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.459 vulnerabilidades

wordpress

378

plugin

36130

theme

2951

HIGH CVSS 7.2

PLUGIN upload CVE-2025-5322

VikRentCar Car Rental Management System <= 1.4.3 - Authenticated (Administrator+) Arbitrary File Upload

vikrentcar

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad crítica en el plugin VikRentCar Car Rental Management System, que permite la carga arbitraria de archivos por parte …

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-7046

Portfolio for Elementor & Image Gallery | PowerFolio <= 3.2.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Custom JS

portfolio-elementor

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Portfolio for Elementor & Image Gallery | PowerFolio' en versiones …

MEDIUM CVSS 4.3

PLUGIN csrf CVE-2025-5933

RD Contacto <= 1.4 - Cross-Site Request Forgery to Settings Update

rd-wapp

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin RD Contacto, afectando a versiones hasta la 1.4. Esta vulnera…

MEDIUM CVSS 6.1

PLUGIN xss CVE-2025-6041

yContributors <= 0.5 - Cross-Site Request Forgery to Stored Cross-Site Scripting

ycontributors

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) que puede llevar a un ataque de Cross-Site Scripting (XSS) en el plugin yC…

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2025-6739

WPQuiz <= 0.4.2 - Authenticated (Contributor+) SQL Injection

wpquiz

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin WPQuiz, que afecta a las versiones hasta la 0.4.2. Esta vulnerabilidad permite a usuar…

MEDIUM CVSS 6.5

PLUGIN rce CVE-2025-5956

WP Human Resource Management 2.0.0 - 2.2.17 - Missing Authorization to Authenticated (Employee+) Arbitrary User Deletion via ajax_delete_employee Function

hrm

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad en el plugin WP Human Resource Management, que permite la eliminación arbitraria de usuarios autenticados. Esta fall…

HIGH CVSS 8.0

PLUGIN CVE-2025-6238

AI Engine 2.8.4 - Insecure OAuth Implementation

ai-engine

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad crítica en el plugin AI Engine, versión 2.8.4, relacionada con una implementación insegura de OAuth. Esta falla podr…

HIGH CVSS 8.8

PLUGIN rce CVE-2025-5953

WP Human Resource Management 2.0.0 - 2.2.17 - Missing Authorization to Authenticated (Employee+) Privilege Escalation via wp_ajax_hrm_insert_employee AJAX Action

hrm

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad crítica en el plugin WP Human Resource Management, que permite la escalada de privilegios para usuarios autenticados…

MEDIUM CVSS 6.4

PLUGIN rce CVE-2025-6729

PayMaster for WooCommerce <= 0.4.31 - Authenticated (Subscriber+) Server-Side Request Forgery

woocommerce-paymaster-gateway-019

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de tipo Server-Side Request Forgery (SSRF) en el plugin PayMaster para WooCommerce, que afecta a las versiones hasta…

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-6783

GoZen Forms <= 1.1.5 - Unauthenticated SQL Injection via emdedSc()

gozen-forms

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin GoZen Forms, que afecta a las versiones hasta la 1.1.5. Este fallo permite a un atacan…

HIGH CVSS 7.5

PLUGIN authbypass CVE-2025-6814

Booking X 1.0 - 1.1.2 - Missing Authorization to Unauthenticated Sensitive Information Disclosure via export_now() Function

booking-x

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad crítica en el plugin Booking X, que permite la divulgación no autorizada de información sensible a usuarios no auten…

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-6782

GoZen Forms <= 1.1.5 - Unauthenticated SQL Injection via dirGZActiveForm()

gozen-forms

Publicado: 03/07/2025

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin GoZen Forms, que afecta a la versión 1.1.5 y anteriores. Este fallo pod…