Saltar al contenido
SeguridadWP by Factor Ideas
SeguridadWP by Factor Ideas
Solicitar análisis gratuito

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

HIGH CVSS 7.5
PLUGIN lfi CVE-2026-6320

Salon Booking System – Free Version <= 10.30.25 - Unauthenticated Arbitrary File Read via Booking File Field Path Traversal

salon-booking-system

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica de lectura de archivos arbitrarios en la versión gratuita del plugin Salon Booking System, afectando hasta l…

Ver ficha
MEDIUM CVSS 5.8
PLUGIN xss CVE-2026-6817

Quiz Maker by AYS <= 6.7.1.29 - Unauthenticated Stored Cross-Site Scripting via 'rate_reason'

quiz-maker

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Quiz Maker hasta la versión 6.7.1.29. Esta falla permite la inyecció…

Ver ficha
MEDIUM CVSS 5.4
PLUGIN xss CVE-2026-4790

Premium Addons for Elementor <= 4.11.70 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'custom_svg' Parameter

premium-addons-for-elementor

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo XSS almacenado en el plugin Premium Addons for Elementor, afectando a versiones hasta la 4.11.70. Esta vulne…

Ver ficha
HIGH CVSS 7.1
PLUGIN CVE-2026-4100

Paid Memberships Pro <= 3.6.5 - Missing Authorization to Authenticated (Subscriber+) Stripe Webhook Deletion and Payment Processing Disruption

paid-memberships-pro

Publicado: 01/05/2026

La versión 3.6.5 del plugin Paid Memberships Pro presenta una vulnerabilidad crítica que permite la eliminación no autorizada de webhooks y puede interrum…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4060

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'sort' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite una inyección SQL sin autenticación a través del parámetro 'sort'. Esta…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4061

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'map_post_type' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite la inyección de SQL no autenticada a través del parámetro 'map_post_typ…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-4062

Geo Mashup <= 1.13.18 - Unauthenticated Time-Based SQL Injection via 'object_ids' Parameter

geo-mashup

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin Geo Mashup, que permite una inyección SQL no autenticada a través del parámetro 'object_ids'. E…

Ver ficha
MEDIUM CVSS 5.3
PLUGIN rce CVE-2026-3504

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 4.3.1 - Unauthenticated Information Disclosure in Store Reviews REST API Endpoint

dokan-lite

Publicado: 01/05/2026

La extensión Dokan Lite presenta una vulnerabilidad que permite la divulgación de información sin autenticación a través de su API de reseñas. Este fallo …

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-0703

NextMove Lite - Thank You Page for WooCommerce <= 2.23.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via 'xlwcty_current_date' Shortcode

woo-thank-you-page-nextmove-lite

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin NextMove Lite para WooCommerce, que afecta a las versiones hasta la 2.23.0. Esta falla perm…

Ver ficha
HIGH CVSS 8.1
PLUGIN rce CVE-2026-2554

WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.25 - Authenticated (Vendor+) Insecure Direct Object Reference to Arbitrary User Deletion

wc-frontend-manager

Publicado: 01/05/2026

Se ha identificado una vulnerabilidad crítica en el plugin WCFM – Frontend Manager para WooCommerce, que permite la eliminación no autorizada de usuarios.…

Ver ficha
HIGH CVSS 7.5
PLUGIN sqli CVE-2026-42774

JetEngine <= 3.8.8.1 - Unauthenticated SQL Injection

jet-engine

Publicado: 30/04/2026

Se ha identificado una vulnerabilidad de inyección SQL no autenticada en el plugin JetEngine, afectando hasta la versión 3.8.8.1. Esta debilidad puede ser…

Ver ficha
MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-6127

Elementor Website Builder <= 4.0.4 - Authenticated (Contributor+) Stored Cross-Site Scripting via REST API

elementor

Publicado: 30/04/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Elementor Website Builder, que afecta a versiones hasta la 4.0.4. Es…

Ver ficha
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad