CVEs
CVEs
Public CVE disclosures across WordPress plugins, security tooling and other web-facing software. IDOR, broken access control, missing authorisation, SQL injection, stored XSS, WAF bypasses. All coordinated through the relevant program (Wordfence, Patchstack, GitHub Security Advisories) and patched by the vendor before disclosure.
7.2
CVE-2026-44982HIGH
CWE-693·CrowdSec AppSec
WAF body-inspection bypass in the CrowdSec AppSec component: a request framed with chunked transfer encoding or HTTP/2 without a content-length reaches the backend with its body unscanned, defeating every body-matching rule.Bypass de la inspección de cuerpo del WAF en el componente AppSec de CrowdSec: una petición con Transfer-Encoding chunked o HTTP/2 sin content-length llega al backend con el cuerpo sin inspeccionar, saltándose todas las reglas que miran el cuerpo.
7.5
CVE-2026-39534HIGH
CWE-862·3K active installs
Broken access control in the WP Directory Kit plugin allows unauthenticated attackers to access and retrieve data served by privileged plugin actions without any authorization check.Control de acceso roto en el plugin WP Directory Kit que permite a atacantes no autenticados acceder y extraer datos expuestos por acciones del plugin con privilegios sin ninguna comprobación de autorización.
9.3
CVE-2026-39531CRITICAL
CWE-89·3K active installs
Unauthenticated SQL injection in the WP Directory Kit plugin allows attackers to inject arbitrary SQL through a request parameter that reaches the database layer without proper sanitization or prepared statements.Inyección SQL no autenticada en el plugin WP Directory Kit que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que llega a la capa de base de datos sin sanitización ni sentencias preparadas.
7.5
CVE-2026-39513HIGH
CWE-862·10K active installs
Broken access control in the Easy Appointments plugin allows unauthenticated attackers to reach a privileged REST route registered with '__return_true' as its permission_callback, exposing appointment data managed by the site.Control de acceso roto en el plugin Easy Appointments que permite a atacantes no autenticados acceder a una ruta REST privilegiada registrada con '__return_true' como permission_callback, exponiendo datos de citas gestionados por el sitio.
9.3
CVE-2026-39511CRITICAL
CWE-89·10K active installs
Unauthenticated SQL injection in the WP Photo Album Plus plugin allows attackers to inject arbitrary SQL through a request parameter that is interpolated into a database query without prepared statements or proper escaping.Inyección SQL no autenticada en el plugin WP Photo Album Plus que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que se interpola en una consulta a la base de datos sin sentencias preparadas ni escapado adecuado.
7.2
CVE-2025-4392HIGH
CWE-79·4K active installs
Stored Cross-Site Scripting (XSS) via file upload in the Shared Files plugin allows unauthenticated attackers to inject malicious scripts that execute when users access uploaded files.Cross-Site Scripting (XSS) almacenado mediante carga de archivos en el plugin Shared Files permite a atacantes no autenticados inyectar scripts maliciosos que se ejecutan cuando los usuarios acceden a los archivos subidos.
5.3
CVE-2025-3769MEDIUM
CWE-639·100K active installs
Insecure Direct Object Reference (IDOR) in LatePoint plugin allows unauthenticated access to appointment details including customer names and email addresses.Referencia directa insegura a objetos (IDOR) en el plugin LatePoint permite acceso no autenticado a detalles de citas, incluyendo nombres y correos electrónicos de clientes.