Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Buscar

Tipo

Severidad

40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 6.1

PLUGIN xss CVE-2026-6704

Blog Settings <= 1.0 - Reflected Cross-Site Scripting via 'page' Parameter

blog-settings

Publicado: 04/05/2026

Se ha identificado una vulnerabilidad de tipo XSS reflejado en el plugin Blog Settings, afectando a versiones iguales o inferiores a 1.0. Este fallo permi…

MEDIUM CVSS 4.9

PLUGIN lfi CVE-2026-1921

Loco Translate <= 2.8.2 - Authenticated (Translator+) Path Traversal to Limited File Read via 'ref' Parameter

loco-translate

Publicado: 04/05/2026

Se ha identificado una vulnerabilidad de tipo Local File Inclusion (LFI) en el plugin Loco Translate, que afecta a las versiones hasta la 2.8.2. Esta fall…

MEDIUM CVSS 5.3

THEME CVE-2026-39716

Flipmart <= 2.8 - Missing Authorization

flipmart

Publicado: 02/05/2026

Se ha identificado una vulnerabilidad de autorización faltante en el tema Flipmart hasta la versión 2.8. Este fallo de seguridad puede permitir accesos no…

MEDIUM CVSS 5.3

PLUGIN CVE-2026-42662

Event Tickets and Registration <= 5.27.5 - Missing Authorization

event-tickets

Publicado: 02/05/2026

Se ha identificado una vulnerabilidad de autorización faltante en el plugin Event Tickets y Registration hasta la versión 5.27.5. Esta falla puede permiti…

HIGH CVSS 7.2

PLUGIN xss CVE-2026-5063

NEX-Forms <= 9.1.11 - Unauthenticated Stored Cross-Site Scripting via POST Parameter Key Names

nex-forms-express-wp-form-builder

Publicado: 02/05/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin NEX-Forms, que afecta a las versiones hasta la 9.1.11. Esta falla permite la eje…

MEDIUM CVSS 5.3

PLUGIN lfi CVE-2026-42661

WP Customer Area <= 8.3.4 - Authenticated (Custom+) Path Traversal

customer-area

Publicado: 01/05/2026

Se ha detectado una vulnerabilidad de tipo Path Traversal en el plugin WP Customer Area en versiones hasta la 8.3.4. Este fallo, que permite a usuarios au…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-6378

Maxi Blocks <= 2.1.9 - Authenticated (Author+) Stored Cross-Site Scripting via Style Card REST API

maxi-blocks

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Maxi Blocks, afectando a versiones hasta la 2.1.9. Esta falla permit…

MEDIUM CVSS 6.4

PLUGIN xss CVE-2026-7209

Simple Link Directory <= 8.9.2 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes

simple-link-directory

Publicado: 01/05/2026

La extensión Simple Link Directory presenta una vulnerabilidad de tipo XSS almacenado que afecta a usuarios autenticados con rol de colaborador o superior…

MEDIUM CVSS 5.3

PLUGIN idor CVE-2026-7638

App Builder <= 5.5.10 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Avatar Modification via 'user_id' Parameter

app-builder

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo IDOR en el plugin App Builder, que permite a usuarios autenticados modificar avatares de otros usuarios. Est…

CRITICAL CVSS 9.8

PLUGIN authbypass CVE-2026-4882

User Registration Advanced Fields <= 1.6.20 - Unauthenticated Arbitrary File Upload

user-registration-advanced-fields

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin User Registration Advanced Fields, que permite la carga de archivos no autenticados. Esto puede…

CRITICAL CVSS 9.8

PLUGIN authbypass CVE-2026-7458

User Verification by PickPlugins <= 2.0.46 - Unauthenticated Authentication Bypass via OTP Verification REST API Endpoint

user-verification

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin User Verification de PickPlugins, que permite el bypass de autenticación a través de un endpoin…

MEDIUM CVSS 6.5

PLUGIN authbypass CVE-2025-14726

Widgets for Social Photo Feed <= 1.8 - Missing Authentication to Unauthenticated Plugin Settings Access/Update via trustindex_feed_hook_instagram REST API endpoints

social-photo-feed-widget

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad en el plugin 'Widgets for Social Photo Feed' que permite el acceso no autenticado a la configuración del plugin. Est…