Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
39.054 vulnerabilidades

wordpress

378

plugin

35773

theme

2903

MEDIUM CVSS 6.5
PLUGIN rce CVE-2026-2421

ilGhera Carta Docente for WooCommerce <= 1.5.0 - Authenticated (Administrator+) Path Traversal to Arbitrary File Deletion via 'cert' Parameter

wc-carta-docente

Publicado: 19/03/2026

Se ha identificado una vulnerabilidad de tipo 'Path Traversal' en el plugin ilGhera Carta Docente para WooCommerce, que permite la eliminación arbitraria …

Ver ficha
MEDIUM CVSS 4.4
PLUGIN xss CVE-2026-2432

CM Custom Reports <= 1.2.7 - Authenticated (Administrator+) Stored Cross-Site Scripting via Plugin Labels

cm-custom-reports

Publicado: 19/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin CM Custom Reports, afectando a versiones hasta la 1.2.7. Este fallo …

Ver ficha
HIGH CVSS 7.5
PLUGIN authbypass CVE-2026-4338

ActivityPub < 8.0.2 - Unauthenticated Information Epxosure

activitypub

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad crítica en el plugin ActivityPub, que permite la exposición no autenticada de información sensible. Este fallo puede…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-39476

User Feedback <= 1.10.1 - Missing Authorization

userfeedback-lite

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de autorización en el plugin User Feedback Lite, que afecta a las versiones hasta la 1.10.1. Esta falla permite a us…

Ver ficha
HIGH CVSS 7.2
PLUGIN xss CVE-2026-1238

SlimStat Analytics <= 5.3.5 - Unauthenticated Stored Cross-Site Scripting via 'fh'

wp-slimstat

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado no autenticado en el plugin SlimStat Analytics hasta la versión 5.3.5. Esta…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN csrf CVE-2026-4068

Add Custom Fields to Media <= 2.0.3 - Cross-Site Request Forgery to Custom Field Deletion via 'delete' Parameter

add-custom-fields-to-media

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en el plugin 'Add Custom Fields to Media' en versiones hasta 2.0.3. Esta f…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4006

Draft List <= 2.6.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'display_name' Parameter

simple-draft-list

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Draft List' en versiones hasta la 2.6.2. Esta falla permite a usuar…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-4120

Info Cards <= 2.0.7 - Authenticated (Contributor+) Stored Cross-Site Scripting via Block Attributes

info-cards

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Info Cards hasta la versión 2.0.7. Esta falla permite a usuarios aut…

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-2571

Download Manager <= 3.3.49 - Missing Authorization to Authenticated (Subscriber+) User Email Enumeration via 'user' Parameter

download-manager

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de enumeración de correos electrónicos en el plugin Download Manager hasta la versión 3.3.49. Esta falla permite a u…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN authbypass CVE-2026-3475

Instant Popup Builder <= 1.1.7 - Unauthenticated Arbitrary Shortcode Execution via 'token' Parameter

instant-popup-builder

Publicado: 18/03/2026

La vulnerabilidad identificada en el plugin Instant Popup Builder, hasta la versión 1.1.7, permite la ejecución arbitraria de shortcodes sin autenticación…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-3658

Appointment Booking Calendar <= 1.6.10.0 - Unauthenticated SQL Injection via 'fields' Parameter

simply-schedule-appointments

Publicado: 18/03/2026

Se ha identificado una vulnerabilidad de inyección SQL en el plugin 'Appointment Booking Calendar' hasta la versión 1.6.10.0. Esta vulnerabilidad permite …

Ver ficha
MEDIUM CVSS 4.3
PLUGIN CVE-2026-24376

WPVulnerability <= 4.2.1 - Missing Authorization

wpvulnerability

Publicado: 18/03/2026

La vulnerabilidad detectada en el plugin WPVulnerability hasta la versión 4.2.1 se relaciona con la falta de autorización, lo que puede permitir acciones …

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad