Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

HIGH CVSS 7.5
PLUGIN lfi CVE-2026-6320

Salon Booking System – Free Version <= 10.30.25 - Unauthenticated Arbitrary File Read via Booking File Field Path Traversal

salon-booking-system

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica de lectura de archivos arbitrarios en la versión gratuita del plugin Salon Booking System, afectando hasta l…

MEDIUM CVSS 5.8
PLUGIN xss CVE-2026-6817

Quiz Maker by AYS <= 6.7.1.29 - Unauthenticated Stored Cross-Site Scripting via 'rate_reason'

quiz-maker

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz Maker hasta la versión 6.7.1.29. Esta falla permite la inyecció…

MEDIUM CVSS 5.4
PLUGIN xss CVE-2026-4790

Premium Addons for Elementor <= 4.11.70 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'custom_svg' Parameter

premium-addons-for-elementor

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Premium Addons for Elementor, afectando a versiones hasta la 4.11.70. Esta vulne…

HIGH CVSS 7.1
PLUGIN CVE-2026-4100

Paid Memberships Pro <= 3.6.5 - Missing Authorization to Authenticated (Subscriber+) Stripe Webhook Deletion and Payment Processing Disruption

paid-memberships-pro

Publicado: 01/05/2026

La versión 3.6.5 del plugin Paid Memberships Pro presenta una vulnerabilidad crítica que permite la eliminación no autorizada de webhooks y puede interrum…

HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4060

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'sort' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite una inyección SQL sin autenticación a través del parámetro 'sort'. Esta…

HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4061

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'map_post_type' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite la inyección de SQL no autenticada a través del parámetro 'map_post_typ…

HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4062

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'object_ids' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite una inyección SQL no autenticada a través del parámetro 'object_ids'. E…

MEDIUM CVSS 5.3
PLUGIN rce CVE-2026-3504

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 4.3.1 - Unauthenticated Information Disclosure in Store Reviews REST API Endpoint

dokan-lite

Publicado: 01/05/2026

La extensión Dokan Lite presenta una vulnerabilidad que permite la divulgación de información sin autenticación a través de su API de reseñas. Este fallo …

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-0703

NextMove Lite - Thank You Page for WooCommerce <= 2.23.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'xlwcty_current_date' Shortcode

woo-thank-you-page-nextmove-lite

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin NextMove Lite para WooCommerce, que afecta a las versiones hasta la 2.23.0. Esta falla perm…

HIGH CVSS 8.1
PLUGIN rce CVE-2026-2554

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.25 - Authenticated (Vendor+) Insecure Direct Object Reference to Arbitrary User Deletion

wc-frontend-manager

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin WCFM – Frontend Manager para WooCommerce, que permite la eliminación no autorizada de usuarios.…

HIGH CVSS 7.5
PLUGIN sqli CVE-2026-42774

JetEngine <= 3.8.8.1 - Unauthenticated SQL Injection

jet-engine

Publicado: 30/04/2026

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin JetEngine, afectando hasta la versión 3.8.8.1. Esta debilidad puede ser…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-6127

Elementor Website Builder <= 4.0.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via REST API

elementor

Publicado: 30/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Elementor Website Builder, que afecta a versiones hasta la 4.0.4. Es…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad