Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

39.461 vulnerabilidades

wordpress

378

plugin

36132

theme

2951

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-39479

Smart Notification <= 10.3 - Unauthenticated SQL Injection

smio-push-notification

Publicado: 11/06/2025

La vulnerabilidad identificada en el plugin Smart Notification, específicamente en versiones anteriores a la 10.3, permite la inyección SQL no autenticada…

HIGH CVSS 7.5

PLUGIN sqli CVE-2025-48274

WP Job Portal <= 2.3.2 - Unauthenticated SQL Injection

wp-job-portal

Publicado: 11/06/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin WP Job Portal, afectando a versiones hasta la 2.3.2. Esta vulnerabilidad permite a un …

MEDIUM CVSS 6.5

PLUGIN sqli CVE-2025-48118

Woocommerce Partial Shipment <= 3.2 - Authenticated (Subscriber+) SQL Injection

wc-partial-shipment

Publicado: 11/06/2025

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Woocommerce Partial Shipment, que afecta a versiones hasta la 3.2. Este fallo permite …

MEDIUM CVSS 6.1

PLUGIN xss CVE-2025-48145

Track, Analyze & Optimize by WP Tao <= 1.3 - Reflected Cross-Site Scripting

wp-tao

Publicado: 11/06/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Track, Analyze & Optimize' de WP Tao, afectando a versiones anterio…

CRITICAL CVSS 9.8

PLUGIN authbypass CVE-2025-32510

Ovatheme Events Manager <= 1.8.4 - Unauthenticated Arbitrary File Upload

ova-events-manager

Publicado: 11/06/2025

Se ha identificado una vulnerabilidad crítica en el plugin Ovatheme Events Manager, que permite la carga arbitraria de archivos sin autenticación. Esta fa…

CRITICAL CVSS 9.8

THEME lfi CVE-2025-24761

DSK < 2.4 - Unauthenticated Local File Inclusion

dsk

Publicado: 11/06/2025

La vulnerabilidad crítica de inclusión local de archivos no autenticada en el tema DSK afecta a versiones anteriores a la 2.4. Esta falla permite a los at…

MEDIUM CVSS 4.9

PLUGIN CVE-2025-4798

WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Read

wp-downloadmanager

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad en el plugin WP-DownloadManager en versiones hasta la 1.68.10, que permite la lectura arbitraria de archivos por par…

HIGH CVSS 7.2

PLUGIN CVE-2025-4799

WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Deletion

wp-downloadmanager

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad de alta gravedad en el plugin WP-DownloadManager, que permite la eliminación arbitraria de archivos por parte de adm…

HIGH CVSS 8.8

PLUGIN upload CVE-2025-5395

WordPress Automatic Plugin - AI content generator and auto poster plugin <= 3.115.0 - Authenticated (Author+) Arbitrary File Upload

wp-automatic

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad crítica en el plugin WordPress Automatic, que permite la carga arbitraria de archivos para usuarios autenticados con…

HIGH CVSS 8.8

PLUGIN privesc CVE-2025-4315

CubeWP – All-in-One Dynamic Content Framework <= 1.1.23 - Authenticated (Subscriber+) Privilege Escalation

cubewp-framework

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad de escalada de privilegios en el plugin CubeWP – All-in-One Dynamic Content Framework, que afecta a las versiones ha…

HIGH CVSS 7.2

PLUGIN xss CVE-2025-3302

Xagio SEO <= 7.1.0.16 - Unauthenticated Stored Cross-Site Scripting via 'HTTP_REFERER'

xagio-seo

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Xagio SEO, que afecta a las versiones anteriores a la 7.1.0.17. Esta…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2025-5144

The Events Calendar <= 6.13.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

the-events-calendar

Publicado: 10/06/2025

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin The Events Calendar hasta la versión 6.13.2, que afecta a usuarios a…

Base de datos de vulnerabilidades

Smart Notification <= 10.3 - Unauthenticated SQL Injection

WP Job Portal <= 2.3.2 - Unauthenticated SQL Injection

Woocommerce Partial Shipment <= 3.2 - Authenticated (Subscriber+) SQL Injection

Track, Analyze &amp; Optimize by WP Tao <= 1.3 - Reflected Cross-Site Scripting

Ovatheme Events Manager <= 1.8.4 - Unauthenticated Arbitrary File Upload

DSK < 2.4 - Unauthenticated Local File Inclusion

WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Read

WP-DownloadManager <= 1.68.10 - Authenticated (Administrator+) Arbitrary File Deletion

WordPress Automatic Plugin - AI content generator and auto poster plugin <= 3.115.0 - Authenticated (Author+) Arbitrary File Upload

CubeWP – All-in-One Dynamic Content Framework <= 1.1.23 - Authenticated (Subscriber+) Privilege Escalation

Xagio SEO <= 7.1.0.16 - Unauthenticated Stored Cross-Site Scripting via 'HTTP_REFERER'

The Events Calendar <= 6.13.2 - Authenticated (Contributor+) DOM-Based Stored Cross-Site Scripting

Track, Analyze & Optimize by WP Tao <= 1.3 - Reflected Cross-Site Scripting