Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.459 vulnerabilidades

wordpress

378

plugin

36130

theme

2951

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-5585

SiteOrigin Widgets Bundle <= 1.68.5 - Authenticated (Contributor+) Stored Cross-Site Scripting via `data-url` DOM Element Attribute

so-widgets-bundle

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin SiteOrigin Widgets Bundle, que afecta a las versiones hasta la 1.68.…

HIGH CVSS 7.5

PLUGIN lfi CVE-2025-5927

Everest Forms (Pro) <= 1.9.4 - Unauthenticated Path Traversal to Arbitrary File Deletion

everest-forms-pro

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad crítica en el plugin Everest Forms (Pro) en versiones hasta la 1.9.4, que permite la eliminación arbitraria de archi…

CRITICAL CVSS 9.1

PLUGIN authbypass CVE-2025-49448

FW Food Menu <= 6.0.0 - Unauthenticated Arbitrary File Deletion

fw-food-menu

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad crítica en el plugin FW Food Menu, que permite la eliminación arbitraria de archivos sin autenticación. Esta falla a…

HIGH CVSS 8.1

PLUGIN lfi CVE-2025-49886

Zikzag Core <= 1.4.5 - Unauthenticated Local File Inclusion

zikzag-core

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad de inclusión de archivos locales no autenticada en el plugin Zikzag Core, que afecta a las versiones hasta la 1.4.5.…

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-23967

GG Bought Together for WooCommerce <= 1.0.2 - Unauthenticated SQL Injection

gg-bought-together

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin GG Bought Together para WooCommerce, que afecta a versiones hasta la 1.0.2. Esta falla…

HIGH CVSS 7.5

THEME sqli CVE-2025-52834

Homey <= 2.4.5 - Unauthenticated SQL Injection

homey

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el tema Homey, que afecta a las versiones hasta la 2.4.5. Esta vulnerabilidad, cl…

HIGH CVSS 7.5

PLUGIN CVE-2025-53303

ThemeMove Core <= 1.4.2 - Authenticated (Subscriber+) PHP Object Injection

thememove-core

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad crítica en el plugin ThemeMove Core, que permite la inyección de objetos PHP para usuarios autenticados con rol de s…

HIGH CVSS 8.8

PLUGIN CVE-2025-25171

WP SmartPay <= 2.7.13 - Authenticated (Subscriber+) Account Takeover

smartpay

Publicado: 24/06/2025

La vulnerabilidad detectada en el plugin WP SmartPay hasta la versión 2.7.13 permite a usuarios autenticados con rol de suscriptor o superior tomar el con…

HIGH CVSS 7.5

THEME CVE-2025-60212

VEDA <= 4.2 - Authenticated (Subscriber+) PHP Object Injection

veda

Publicado: 24/06/2025

La vulnerabilidad en el tema VEDA, identificada como CVE-2025-60212, permite la inyección de objetos PHP en usuarios autenticados con rol de suscriptor o …

HIGH CVSS 7.5

THEME CVE-2025-60215

Kriya <= 3.4 - Authenticated (Subscriber+) PHP Object Injection

kriya

Publicado: 24/06/2025

La vulnerabilidad identificada en el tema Kriya, con versiones hasta la 3.4, permite la inyección de objetos PHP autenticados para usuarios con rol de sus…

MEDIUM CVSS 6.1

PLUGIN xss CVE-2025-53286

Dropify <= 4.6.9 - Reflected Cross-Site Scripting

wc-dropi-integration

Publicado: 24/06/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Dropify, afectando a versiones hasta la 4.6.9. Esta vulnerabilidad p…

HIGH CVSS 7.5

THEME lfi CVE-2025-53252

Zegen <= 1.1.9 - Authenticated (Subscriber+) Local File Inclusion

zegen

Publicado: 24/06/2025

La vulnerabilidad de inclusión de archivos locales (LFI) en el tema Zegen hasta la versión 1.1.9 permite a usuarios autenticados con rol de suscriptor o s…