CVEs
CVEs
Divulgaciones públicas de CVEs en plugins de WordPress, herramientas de seguridad y otro software accesible desde la red. IDOR, fallos de control de acceso, falta de autorización, inyección SQL, XSS almacenado, bypasses de WAF. Todas coordinadas a través del programa correspondiente (Wordfence, Patchstack, GitHub Security Advisories) y parcheadas por el vendor antes de publicarse.
7.2
CVE-2026-44982HIGH
CWE-693·CrowdSec AppSec
WAF body-inspection bypass in the CrowdSec AppSec component: a request framed with chunked transfer encoding or HTTP/2 without a content-length reaches the backend with its body unscanned, defeating every body-matching rule.Bypass de la inspección de cuerpo del WAF en el componente AppSec de CrowdSec: una petición con Transfer-Encoding chunked o HTTP/2 sin content-length llega al backend con el cuerpo sin inspeccionar, saltándose todas las reglas que miran el cuerpo.
7.5
CVE-2026-39534HIGH
CWE-862·3K instalaciones activas
Broken access control in the WP Directory Kit plugin allows unauthenticated attackers to access and retrieve data served by privileged plugin actions without any authorization check.Control de acceso roto en el plugin WP Directory Kit que permite a atacantes no autenticados acceder y extraer datos expuestos por acciones del plugin con privilegios sin ninguna comprobación de autorización.
9.3
CVE-2026-39531CRITICAL
CWE-89·3K instalaciones activas
Unauthenticated SQL injection in the WP Directory Kit plugin allows attackers to inject arbitrary SQL through a request parameter that reaches the database layer without proper sanitization or prepared statements.Inyección SQL no autenticada en el plugin WP Directory Kit que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que llega a la capa de base de datos sin sanitización ni sentencias preparadas.
7.5
CVE-2026-39513HIGH
CWE-862·10K instalaciones activas
Broken access control in the Easy Appointments plugin allows unauthenticated attackers to reach a privileged REST route registered with '__return_true' as its permission_callback, exposing appointment data managed by the site.Control de acceso roto en el plugin Easy Appointments que permite a atacantes no autenticados acceder a una ruta REST privilegiada registrada con '__return_true' como permission_callback, exponiendo datos de citas gestionados por el sitio.
9.3
CVE-2026-39511CRITICAL
CWE-89·10K instalaciones activas
Unauthenticated SQL injection in the WP Photo Album Plus plugin allows attackers to inject arbitrary SQL through a request parameter that is interpolated into a database query without prepared statements or proper escaping.Inyección SQL no autenticada en el plugin WP Photo Album Plus que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que se interpola en una consulta a la base de datos sin sentencias preparadas ni escapado adecuado.
7.2
CVE-2025-4392HIGH
CWE-79·4K instalaciones activas
Stored Cross-Site Scripting (XSS) via file upload in the Shared Files plugin allows unauthenticated attackers to inject malicious scripts that execute when users access uploaded files.Cross-Site Scripting (XSS) almacenado mediante carga de archivos en el plugin Shared Files permite a atacantes no autenticados inyectar scripts maliciosos que se ejecutan cuando los usuarios acceden a los archivos subidos.
5.3
CVE-2025-3769MEDIUM
CWE-639·100K instalaciones activas
Insecure Direct Object Reference (IDOR) in LatePoint plugin allows unauthenticated access to appointment details including customer names and email addresses.Referencia directa insegura a objetos (IDOR) en el plugin LatePoint permite acceso no autenticado a detalles de citas, incluyendo nombres y correos electrónicos de clientes.