Vulnerabilità WordPress (qui elenco plugin) fonte: NIST CVES


  1. CVE-2025-6746 -- 2025-07-08T07:15:26.587
    Received
      The WoodMart Plugin for WordPress is vulnerable to Local file Inclusion in all versions up to, and including, 8.2.3 via the 'layout' attribute.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to include and execute arbitrary .php files on the server, allowing the execution of any PHP code in those files.
      - This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where .php files can be uploaded and included.


  2. CVE-2025-6743 -- 2025-07-08T07:15:26.410
    Received
      The Woodmart theme for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's 'multiple_markers' attribute in all versions up to, and including, 8.2.3 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.


  3. CVE-2025-7327 -- 2025-07-08T06:15:24.730
    Received
      The Widget for Google Reviews Plugin for WordPress is vulnerable to Directory Traversal in all versions up to, and including, 1.0.15 via the layout parameter.
      - This makes it possible for authenticated attackers, with Subscriber-level access and above, to include and execute arbitrary files on the server, allowing the execution of any PHP code in those files.
      - This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where images and other “safe” file types can be uploaded and included.
      - This is limited to just PHP files.


  4. CVE-2025-5957 -- 2025-07-08T05:15:30.660
    Received
      The Guest Support – Complete customer support ticket system for WordPress Plugin for WordPress is vulnerable to unauthorized loss of data due to a missing capability check on the 'deleteMassTickets' function in all versions up to, and including, 1.2.2.
      - This makes it possible for unauthenticated attackers to delete arbitrary support tickets.


  5. CVE-2025-5537 -- 2025-07-08T05:15:30.420
    Received
      The Lightbox & Modal Popup WordPress Plugin – FooBox Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via image alternative texts in all versions up to, and including, 2.7.34 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.


  6. CVE-2025-6244 -- 2025-07-08T03:15:30.947
    Received
      The Essential Addons for Elementor – Popular Elementor Templates and Widgets Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the via `Calendar` And `Business Reviews` Widgets attributes in all versions up to, and including, 6.1.19 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.


  7. CVE-2025-5570 -- 2025-07-08T03:15:30.423
    Received
      The AI Engine Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the mwai_chatbot shortcode 'id' parameter in all versions up to, and including, 2.8.4 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.


  8. CVE-2025-6740 -- 2025-07-04T12:15:35.570
    Received
      The Contact Form 7 Database Addon Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘tmpD’ parameter in all versions up to, and including, 1.3.1 due to insufficient input sanitization and output escaping.
      - This makes it possible for unauthenticated attackers to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Contact Form 7 Database Addon para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'tmpD' en todas las versiones hasta la 1.3.1 incluida, debido a una depuración de entrada y un sanitise de salida insuficientes.
      - Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  9. CVE-2025-52807 -- 2025-07-04T12:15:34.107
    Received
      Improper Control of filename for Include/Require Statement in PHP Program ('PHP Remote file Inclusion') vulnerability in ApusWP Kossy - Minimalist eCommerce WordPress Theme allows PHP Local file Inclusion.
      - This issue affects Kossy - Minimalist eCommerce WordPress Theme: from n/a through 1.45.
      Vulnerabilidad de control incorrecto del nombre de archivo para la instrucción Include/Require en programas PHP ('Inclusión remota de archivos PHP') en ApusWP Kossy - Minimalist eCommerce WordPress Theme, permite la inclusión local de archivos PHP.
      - Este problema afecta a Kossy, el tema minimalista de comercio electrónico para WordPress, desde n/d hasta la versión 1.45.


  10. CVE-2025-32311 -- 2025-07-04T12:15:28.163
    Received
      Improper Neutralization of Input During Web Page Generation ('Cross-Site Scripting') vulnerability in QuanticaLabs Pressroom - News Magazine WordPress Theme allows Reflected XSS.
      - This issue affects Pressroom - News Magazine WordPress Theme: from n/a through 6.9.
      Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-Site Scripting') en QuanticaLabs Pressroom - News Magazine WordPress Theme permite XSS reflejado.
      - Este problema afecta al tema de WordPress para revistas de noticias Pressroom desde n/d hasta la versión 6.9.


  11. CVE-2025-6673 -- 2025-07-04T08:15:25.950
    Received
      The Easy restaurant menu manager Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's nsc_eprm_menu_link shortcode in versions up to, and including 2.0.1, due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Easy Restaurant Menu Manager para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode nsc_eprm_menu_link en versiones hasta la 2.0.1 (incluida), debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  12. CVE-2024-11937 -- 2025-07-04T08:15:24.900
    Received
      The Premium Addons for Elementor Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's linkURL in the Mobile Menu element in all versions up to, and including, 4.10.69 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Premium Addons para Elementor de WordPress es vulnerable a Cross-Site Scripting almacenado a través de la URL del enlace del complemento en el elemento Menú Móvil en todas las versiones hasta la 4.10.69 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.


  13. CVE-2025-6944 -- 2025-07-04T06:15:25.203
    Received
      The Uncode Core Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's 'uncode_hl_text' and 'uncode_text_icon' shortcodes in all versions up to, and including, 2.9.4.2 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Uncode Core para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los shortcodes 'uncode_hl_text' y 'uncode_text_icon' en todas las versiones hasta la 2.9.4.2 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  14. CVE-2025-7046 -- 2025-07-04T03:15:23.743
    Received
      The Portfolio for Elementor & Image Gallery | PowerFolio Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Custom JS Attributes of Plugin's widgets in all versions up to, and including, 3.2.0 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The issue was partially fixed in version 3.2.0 and fully fixed in version 3.2.1
      El complemento Portfolio for Elementor & Image Gallery | PowerFolio para WordPress es vulnerable a Cross-Site Scripting almacenado a través de los atributos JS personalizados de los widgets del complemento en todas las versiones hasta la 3.2.0 incluida, debido a una depuración de entrada y un sanitise de salida insuficientes.
      - Esto permite que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.
      - El problema se solucionó parcialmente en la versión 3.2.0 y completamente en la 3.2.1.


  15. CVE-2025-6814 -- 2025-07-04T03:15:23.580
    Received
      The Booking X Plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the export_now() function in versions 1.0 to 1.1.2.
      - This makes it possible for unauthenticated attackers to download all Plugin data, including user accounts, user meta, and PayPal credentials, by issuing a crafted POST request.
      El complemento Booking X para WordPress es vulnerable al acceso no autorizado a los datos debido a la falta de una comprobación de capacidad en la función export_now() en las versiones 1.0 a 1.1.2.
      - Esto permite que atacantes no autenticados descarguen todos los datos del complemento, incluyendo cuentas de usuario, metadatos de usuario y credenciales de PayPal, mediante una solicitud POST manipulada.


  16. CVE-2025-6787 -- 2025-07-04T03:15:23.403
    Received
      The Smart Docs Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's 'smartdocs_search' shortcode in all versions up to, and including, 1.1.0 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Smart Docs para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode 'smartdocs_search' en todas las versiones hasta la 1.1.0 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  17. CVE-2025-6786 -- 2025-07-04T03:15:23.237
    Received
      The DocCheck Login Plugin for WordPress is vulnerable to unauthorized post access in all versions up to, and including, 1.1.5.
      - This is due to Plugin redirecting a user to login on a password protected post after the page has loaded.
      - This makes it possible for unauthenticated attackers to read posts they should not have access to.
      El complemento DocCheck Login para WordPress es vulnerable al acceso no autorizado a publicaciones en todas las versiones hasta la 1.1.5 incluida.
      - Esto se debe a que el complemento redirige al usuario para que inicie sesión en una publicación protegida con contraseña después de que la página se haya cargado.
      - Esto permite que atacantes no autenticados lean publicaciones a las que no deberían tener acceso.


  18. CVE-2025-6783 -- 2025-07-04T03:15:23.077
    Received
      The GoZen Forms Plugin for WordPress is vulnerable to SQL Injection via the 'forms-id' parameter of the emdedSc() function in all versions up to, and including, 1.1.5 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query.
      - This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
      El complemento GoZen Forms para WordPress es vulnerable a la inyección SQL a través del parámetro 'forms-id' de la función emdedSc() en todas las versiones hasta la 1.1.5 incluida, debido a un sanitise insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente.
      - Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.


  19. CVE-2025-6782 -- 2025-07-04T03:15:22.913
    Received
      The GoZen Forms Plugin for WordPress is vulnerable to SQL Injection via the 'forms-id' parameter of the dirGZActiveForm() function in all versions up to, and including, 1.1.5 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query.
      - This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
      El complemento GoZen Forms para WordPress es vulnerable a la inyección SQL a través del parámetro 'forms-id' de la función dirGZActiveForm() en todas las versiones hasta la 1.1.5 incluida, debido a un sanitise insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente.
      - Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.


  20. CVE-2025-6739 -- 2025-07-04T03:15:22.740
    Received
      The WPQuiz Plugin for WordPress is vulnerable to SQL Injection via the 'id' attribute of the 'wpquiz' shortcode in all versions up to, and including, 0.4.2 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
      El complemento WPQuiz para WordPress es vulnerable a la inyección SQL a través del atributo 'id' del shortcode 'wpquiz' en todas las versiones hasta la 0.4.2 incluida, debido a un sanitise insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, añadir consultas SQL adicionales a las consultas ya existentes, que pueden utilizarse para extraer información confidencial de la base de datos.


  21. CVE-2025-6729 -- 2025-07-04T03:15:22.577
    Received
      The PayMaster for WooCommerce Plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 0.4.31 via the 'wp_ajax_paym_status' AJAX action This makes it possible for authenticated attackers, with Subscriber-level access and above, to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services. El complemento PayMaster para WooCommerce para WordPress es vulnerable a Server Side Request Forgery en todas las versiones hasta la 0.4.31 incluida, a través de la acción AJAX 'wp_ajax_paym_status'.
      - Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultar y modificar información de servicios internos.


  22. CVE-2025-6586 -- 2025-07-04T03:15:22.407
    Received
      The Download Plugin Plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the dpwap_Plugin_locInstall function in all versions up to, and including, 2.2.8.
      - This makes it possible for authenticated attackers, with Administrator-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.
      El complemento Download Plugin para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función dpwap_Plugin_locInstall en todas las versiones hasta la 2.2.8 incluida.
      - Esto permite que atacantes autenticados, con acceso de administrador o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.


  23. CVE-2025-6238 -- 2025-07-04T03:15:22.237
    Received
      The AI Engine Plugin for WordPress is vulnerable to open redirect in version 2.8.4.
      - This is due to an insecure OAuth implementation, as the 'redirect_uri' parameter is missing validation during the authorization flow.
      - This makes it possible for unauthenticated attackers to intercept the authorization code and obtain an access token by redirecting the user to an attacker-controlled URI.
      - Note: OAuth is disabled, the 'Meow_MWAI_Labs_OAuth' class is not loaded in the Plugin in the patched version 2.8.5.
      El complemento AI Engine para WordPress es vulnerable a redireccionamientos abiertos en la versión 2.8.4.
      - Esto se debe a una implementación insegura de OAuth, ya que el parámetro 'redirect_uri' no se valida durante el flujo de autorización.
      - Esto permite que atacantes no autenticados intercepten el código de autorización y obtengan un token de acceso redirigiendo al usuario a una URI controlada por el atacante.
      - Nota: OAuth está deshabilitado; la clase 'Meow_MWAI_Labs_OAuth' no está cargada en el complemento en la versión 2.8.5 parcheada.


  24. CVE-2025-6041 -- 2025-07-04T03:15:22.080
    Received
      The yContributors Plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 0.5.
      - This is due to missing or incorrect nonce validation on the 'yContributors' page.
      - This makes it possible for unauthenticated attackers to update settings and inject malicious web scripts via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
      El complemento yContributors para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 0.5 incluida.
      - Esto se debe a la falta o a una validación de nonce incorrecta en la página "yContributors".
      - Esto permite que atacantes no autenticados actualicen la configuración e inyecten scripts web maliciosos mediante una solicitud falsificada, ya que pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.


  25. CVE-2025-6039 -- 2025-07-04T03:15:21.910
    Received
      The ProcessingJS for WordPress Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's 'pjs4wp' shortcode in all versions up to, and including, 1.2.2 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento ProcessingJS para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode 'pjs4wp' en todas las versiones hasta la 1.2.2 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  26. CVE-2025-5956 -- 2025-07-04T03:15:21.747
    Received
      The WP Human Resource Management Plugin for WordPress is vulnerable to Arbitrary User Deletion due to a missing authorization within the ajax_delete_employee() function in versions 2.0.0 through 2.2.17.
      - The Plugin’s deletion handler reads the client-supplied $_POST['delete'] array and passes each ID directly to wp_delete_user() without verifying that the caller has the delete_users capability or limiting which user IDs may be removed.
      - This makes it possible for authenticated attackers, with Employee-level access and above, to delete arbitrary accounts, including administrators.
      El complemento WP Human Resource Management para WordPress es vulnerable a la eliminación arbitraria de usuarios debido a la falta de autorización en la función ajax_delete_employee() en las versiones 2.0.0 a 2.2.17.
      - El gestor de eliminación del complemento lee la matriz $_POST['delete'] proporcionada por el cliente y pasa cada ID directamente a wp_delete_user() sin verificar que el usuario tenga la capacidad delete_users ni limitar los ID de usuario que se pueden eliminar.
      - Esto permite a atacantes autenticados, con acceso de empleado o superior, eliminar cuentas arbitrarias, incluyendo las de administrador.


  27. CVE-2025-5953 -- 2025-07-04T03:15:21.583
    Received
      The WP Human Resource Management Plugin for WordPress is vulnerable to privilege Escalation due to missing authorization in the ajax_insert_employee() and update_empoyee() functions in versions 2.0.0 through 2.2.17.
      - The AJAX handler reads the client-supplied $_POST['role'] and, after basic cleaning via hrm_clean(), passes it directly to wp_insert_user() and later to $user->set_role() without verifying that the current user is allowed to assign that role.
      - This makes it possible for authenticated attackers, with Employee-level access and above, to elevate their privileges to administrator.
      El complemento WP Human Resource Management para WordPress es vulnerable a la escalada de privilegios debido a la falta de autorización en las funciones ajax_insert_employee() y update_empoyee() en las versiones 2.0.0 a 2.2.17.
      - El controlador AJAX lee el $_POST['role'] proporcionado por el cliente y, tras una limpieza básica mediante hrm_clean(), lo pasa directamente a wp_insert_user() y posteriormente a $user->set_role() sin verificar que el usuario actual tenga permiso para asignar dicho rol.
      - Esto permite que atacantes autenticados, con acceso de empleado o superior, eleven sus privilegios a administrador.


  28. CVE-2025-5933 -- 2025-07-04T03:15:21.407
    Received
      The RD Contacto Plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.4.
      - This is due to missing or incorrect nonce validation on the rdWappUpdateData() function.
      - This makes it possible for unauthenticated attackers to update Plugin settings via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
      El complemento RD Contacto para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.4 incluida.
      - Esto se debe a la falta o a una validación incorrecta del nonce en la función rdWappUpdateData().
      - Esto permite que atacantes no autenticados actualicen la configuración del complemento mediante una solicitud falsificada, ya que pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
      -


  29. CVE-2025-5924 -- 2025-07-04T03:15:21.240
    Received
      The WP Firebase Push Notification Plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.2.0.
      - This is due to missing or incorrect nonce validation on the wfpn_brodcast_notification_message() function.
      - This makes it possible for unauthenticated attackers to send broadcast notifications via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
      El complemento WP Firebase Push Notification para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.2.0 incluida.
      - Esto se debe a la falta o a una validación incorrecta de nonce en la función wfpn_brodcast_notification_message().
      - Esto permite que atacantes no autenticados envíen notificaciones de difusión mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.


  30. CVE-2025-5567 -- 2025-07-04T03:15:21.040
    Received
      The WP shortcodes Pluginshortcodes Ultimate Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'data-url' DOM element attribute in all versions up to, and including, 7.4.0 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento WP shortcodes — shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo del elemento DOM 'data-url' en todas las versiones hasta la 7.4.0 incluida, debido a una depuración de entrada y un sanitise de salida insuficientes.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  31. CVE-2025-5322 -- 2025-07-03T22:15:21.287
    Received
      The VikRentCar Car Rental Management System Plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the do_updatecar and createcar functions in all versions up to, and including, 1.4.3.
      - This makes it possible for authenticated attackers, with Administrator-level access and above, to upload arbitrary files on the affected site's server, which may make remote code execution possible.
      El complemento VikRentCar Car Rental Management System para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en las funciones do_updatecar y createcar en todas las versiones hasta la 1.4.3 incluida.
      - Esto permite que atacantes autenticados, con acceso de administrador o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.


  32. CVE-2025-5961 -- 2025-07-03T14:15:33.523
    Awaiting Analysis
      The Migration, Backup, Staging – WPvivid Backup & Migration Plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the 'wpvivid_upload_import_files' function in all versions up to, and including, 0.9.116.
      - This makes it possible for authenticated attackers, with Administrator-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.
      - NOTE: Uploaded files are only accessible on WordPress instances running on the NGINX web server as the existing .htaccess within the target file upload folder prevents access on Apache servers.
      El complemento Migration, Backup, Staging – WPvivid Backup & Migration para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función 'wpvivid_upload_import_files' en todas las versiones hasta la 0.9.116 incluida.
      - Esto permite que atacantes autenticados, con acceso de administrador o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código.
      - NOTA: Los archivos subidos solo son accesibles en instancias de WordPress que se ejecutan en el servidor web NGINX, ya que el archivo .htaccess existente en la carpeta de carga del archivo de destino impide el acceso en servidores Apache.


  33. CVE-2025-2932 -- 2025-07-03T13:15:28.220
    Awaiting Analysis
      The JKDEVKIT Plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the 'font_upload_handler' function in all versions up to, and including, 1.9.4.
      - This makes it possible for authenticated attackers, with Subscriber-level access and above, to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php).
      - If WooCommerce is enabled, attackers will need Contributor-level access and above.
      El complemento JKDEVKIT para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función "font_upload_handler" en todas las versiones hasta la 1.9.4 incluida.
      - Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
      - Si WooCommerce está habilitado, los atacantes necesitarán acceso de colaborador o superior.


  34. CVE-2025-2537 -- 2025-07-03T13:15:27.337
    Awaiting Analysis
      Multiple Plugins for WordPress are vulnerable to Stored Cross-Site Scripting via the Plugin's bundled ThickBox JavaScript library (version 3.1) in various versions due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      Varios complementos para WordPress son vulnerables a Cross-Site Scripting almacenado a través de la librería de JavaScript ThickBox (versión 3.1) incluida en el complemento en varias versiones, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  35. CVE-2025-2540 -- 2025-07-03T12:15:24.483
    Awaiting Analysis
      Multiple Plugins for WordPress are vulnerable to Stored Cross-Site Scripting via the Plugin's bundled prettyPhoto library (version 3.1.6) in various versions due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      Varios complementos para WordPress son vulnerables a Cross-Site Scripting almacenado a través de la librería prettyPhoto (versión 3.1.6) incluida en el complemento en varias versiones, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  36. CVE-2024-5647 -- 2025-07-03T10:15:34.527
    Awaiting Analysis
      Multiple Plugins for WordPress are vulnerable to Stored Cross-Site Scripting via the Plugin's bundled Magnific Popups library (version 1.1.0) in various versions due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      - NOTE: This vulnerability was fixed in the upstream library (Magnific Popups version 1.2.0) by disabling the loading of HTML within certain fields by default.
      Varios complementos para WordPress son vulnerables a Cross-Site Scripting Almacenado a través de la librería Magnific Popups (versión 1.1.0) incluida en el complemento en varias versiones, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
      - NOTA: Esta vulnerabilidad se corrigió en la librería original (Magnific Popups versión 1.2.0) al deshabilitar la carga de HTML en ciertos campos por defecto.


  37. CVE-2024-9017 -- 2025-07-03T07:15:21.860
    Awaiting Analysis
      The PeepSo Core: Groups Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Group Description field in all versions up to, and including, 6.4.6.0 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Subscriber-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento PeepSo Core: Groups para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del campo Descripción del Grupo en todas las versiones hasta la 6.4.6.0 incluida, debido a una depuración de entrada y un sanitise de salida insuficientes.
      - Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  38. CVE-2025-5944 -- 2025-07-03T05:15:25.330
    Awaiting Analysis
      The Element Pack Addons for Elementor Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the ‘data-caption’ attribute in all versions up to, and including, 8.0.0 due to insufficient input sanitization and output escaping.
      - This makes it possible for authenticated attackers, with Contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Element Pack Addons para Elementor de WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo "data-caption" en todas las versiones hasta la 8.0.0 incluida, debido a una depuración de entrada y un sanitise de salida insuficientes.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  39. CVE-2025-4946 -- 2025-07-02T10:15:23.227
    Awaiting Analysis
      The Vikinger theme for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the vikinger_delete_activity_media_ajax() function in all versions up to, and including, 1.9.32.
      - This makes it possible for authenticated attackers, with Subscriber-level access and above, to delete arbitrary files on the server, which can easily lead to remote code execution when the right file is deleted (such as wp-config.php).
      - Note: Requires Vikinger Media Plugin to be installed and active.
      El tema Vikinger para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función vikinger_delete_activity_media_ajax() en todas las versiones hasta la 1.9.32 incluida.
      - Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen archivos arbitrarios en el servidor, lo que puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).
      - Nota: Requiere que el complemento Vikinger Media esté instalado y activo.


  40. CVE-2025-2330 -- 2025-07-02T10:15:23.033
    Awaiting Analysis
      The All-in-One Addons for Elementor – WidgetKit Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's 'button+modal' widget in all versions up to, and including, 2.5.4 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento All-in-One Addons para Elementor – WidgetKit para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget "button+modal" del complemento en todas las versiones hasta la 2.5.4 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.


  41. CVE-2024-13786 -- 2025-07-02T07:15:22.857
    Awaiting Analysis
      The education theme for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 3.6.10 via deserialization of untrusted input in the 'themerex_callback_view_more_posts' function.
      - This makes it possible for unauthenticated attackers to inject a PHP Object.
      - No known POP chain is present in the vulnerable software, which means this vulnerability has no impact unless another Plugin or theme containing a POP chain is installed on the site.
      - If a POP chain is present via an additional Plugin or theme installed on the target system, it may allow the attacker to perform actions like delete arbitrary files, retrieve sensitive data, or execute code depending on the POP chain present.
      Education theme de WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 3.6.10 incluida, mediante la deserialización de entradas no confiables en la función 'themerex_callback_view_more_posts'.
      - Esto permite a atacantes no autenticados inyectar un objeto PHP.
      - No se conoce ninguna cadena POP presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP.
      - Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código, dependiendo de la cadena POP presente.


  42. CVE-2025-6464 -- 2025-07-02T06:15:23.520
    Analyzed
      The Forminator Forms – Contact Form, Payment Form & Custom Form Builder Plugin for WordPress is vulnerable to PHP Object Injection in all versions up to, and including, 1.44.2 via deserialization of untrusted input in the 'entry_delete_upload_files' function.
      - This makes it possible for unauthenticated attackers to inject a PHP Object through a PHAR file.
      - No known POP chain is present in the vulnerable software, which means this vulnerability has no impact unless another Plugin or theme containing a POP chain is installed on the site.
      - If a POP chain is present via an additional Plugin or theme installed on the target system, it may allow the attacker to perform actions like delete arbitrary files, retrieve sensitive data, or execute code depending on the POP chain present.
      - Deserialization occurs when the form submission is deleted, whether by an Administrator or via auto-deletion determined by Plugin settings.
      El complemento Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.44.2 incluida, mediante la deserialización de entradas no confiables en la función 'entry_delete_upload_files'.
      - Esto permite a atacantes no autenticados inyectar un objeto PHP a través de un archivo PHAR.
      - No se conoce ninguna cadena POP presente en el software vulnerable, lo que significa que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP.
      - Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código, dependiendo de la cadena POP presente.
      - La deserialización se produce cuando se elimina el envío del formulario, ya sea por un administrador o mediante la eliminación automática determinada por la configuración del complemento.


  43. CVE-2024-13451 -- 2025-07-02T06:15:22.630
    Awaiting Analysis
      The Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder Plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 2.17.4 via file uploads due to insufficient directory listing prevention and lack of randomization of file names.
      - This makes it possible for unauthenticated attackers to extract sensitive data including files uploaded via a form.
      - The vulnerability was partially patched in version 2.17.5.
      El complemento Contact Form by Bit Form: Multi Step Form, Calculation Contact Form, Payment Contact Form & Custom Contact Form builder para WordPress es vulnerable a la exposición de información confidencial en todas las versiones (hasta la 2.17.4 incluida) al subir archivos, debido a la insuficiente prevención de listados de directorios y la falta de aleatorización de los nombres de archivo.
      - Esto permite a atacantes no autenticados extraer datos confidenciales, incluidos los archivos subidos mediante un formulario.
      - La vulnerabilidad se corrigió parcialmente en la versión 2.17.5.


  44. CVE-2025-6463 -- 2025-07-02T05:15:27.737
    Analyzed
      The Forminator Forms – Contact Form, Payment Form & Custom Form Builder Plugin for WordPress is vulnerable to arbitrary file deletion due to insufficient file path validation in the 'entry_delete_upload_files' function in all versions up to, and including, 1.44.2.
      - This makes it possible for unauthenticated attackers to include arbitrary file paths in a form submission.
      - The file will be deleted when the form submission is deleted, whether by an Administrator or via auto-deletion determined by Plugin settings.
      - This can easily lead to remote code execution when the right file is deleted (such as wp-config.php).
      El complemento Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo en la función 'entry_delete_upload_files' en todas las versiones hasta la 1.44.2 incluida.
      - Esto permite que atacantes no autenticados incluyan rutas de archivo arbitrarias en el envío de un formulario.
      - El archivo se eliminará al eliminar el formulario, ya sea por un administrador o mediante la eliminación automática determinada por la configuración del complemento.
      - Esto puede provocar fácilmente la ejecución remota de código al eliminar el archivo correcto (como wp-config.php).


  45. CVE-2025-6687 -- 2025-07-02T04:16:01.167
    Undergoing Analysis
      The Magic Buttons for Elementor Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's magic-button shortcode in all versions up to, and including, 1.0 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Magic Buttons para Elementor de WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode del botón mágico en todas las versiones hasta la 1.0 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  46. CVE-2025-6686 -- 2025-07-02T04:16:00.243
    Undergoing Analysis
      The Magic Buttons for Elementor Plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the Plugin's magic-button shortcode in all versions up to, and including, 1.0 due to insufficient input sanitization and output escaping on user supplied attributes.
      - This makes it possible for authenticated attackers, with contributor-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.
      El complemento Magic Buttons para Elementor de WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode del botón mágico en todas las versiones hasta la 1.0 incluida, debido a una depuración de entrada insuficiente y al sanitise de salida en los atributos proporcionados por el usuario.
      - Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.


  47. CVE-2025-6459 -- 2025-07-02T04:15:59.413
    Undergoing Analysis
      The Ads Pro Plugin - Multi-Purpose WordPress Advertising Manager Plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 4.89.
      - This is due to missing or incorrect nonce validation on the bsaCreateAdTemplate function.
      - This makes it possible for unauthenticated attackers to inject and execute arbitrary PHP code via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
      El complemento Ads Pro Plugin - Multi-Purpose WordPress Advertising Manage de WordPress, es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 4.89 (incluida).
      - Esto se debe a la falta o a una validación incorrecta de nonce en la función bsaCreateAdTemplate.
      - Esto permite que atacantes no autenticados inyecten y ejecuten código PHP arbitrario mediante una solicitud falsificada, ya que pueden engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.


  48. CVE-2025-6437 -- 2025-07-02T04:15:58.987
    Undergoing Analysis
      The Ads Pro Plugin - Multi-Purpose WordPress Advertising Manager Plugin for WordPress is vulnerable to SQL Injection via the ‘oid’ parameter in all versions up to, and including, 4.89 due to insufficient escaping on the user supplied parameter and lack of sufficient preparation on the existing SQL query.
      - This makes it possible for unauthenticated attackers to append additional SQL queries into already existing queries that can be used to extract sensitive information from the database.
      El complemento Ads Pro Plugin - Multi-Purpose WordPress Advertising Manager de WordPress, es vulnerable a la inyección SQL mediante el parámetro 'oid' en todas las versiones hasta la 4.89 incluida, debido a un sanitise insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente.
      - Esto permite a atacantes no autenticados añadir consultas SQL adicionales a las consultas existentes, que pueden utilizarse para extraer información confidencial de la base de datos.


  49. CVE-2025-5817 -- 2025-07-02T04:15:58.783
    Awaiting Analysis
      The Amazon Products to WooCommerce Plugin for WordPress is vulnerable to Server-Side Request Forgery in all versions up to, and including, 1.2.7 via the wcta2w_get_urls().
      - This makes it possible for unauthenticated attackers to make web requests to arbitrary locations originating from the web application and can be used to query and modify information from internal services.
      El complemento Amazon Products to WooCommerce para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 1.2.7 incluida, mediante wcta2w_get_urls().
      - Esto permite a atacantes no autenticados realizar solicitudes web a ubicaciones arbitrarias desde la aplicación web y utilizarlas para consultar y modificar información de servicios internos.


  50. CVE-2025-5746 -- 2025-07-02T04:15:58.013
    Awaiting Analysis
      The Drag and Drop Multiple file Upload (Pro) - WooCommerce Plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the dnd_upload_cf7_upload_chunks() function in version 5.0 - 5.0.5 (when bundled with the PrintSpace theme) and all versions up to, and including, 1.7.1 (in the standalone version).
      - This makes it possible for unauthenticated attackers to upload arbitrary files on the affected site's server which may make remote code execution possible.
      - The execution of PHP is disabled via a .htaccess file but is still possible in certain server configurations.
      El complemento Drag and Drop Multiple file Upload (Pro) - WooCommerce para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función "dnd_upload_cf7_upload_chunks()" en las versiones 5.0 a 5.0.5 (cuando se incluye con el tema PrintSpace) y en todas las versiones hasta la 1.7.1 (incluida) (en la versión independiente).
      - Esto permite que atacantes no autenticados suban archivos arbitrarios al servidor del sitio web afectado, lo que podría posibilitar la ejecución remota de código.
      - La ejecución de PHP está deshabilitada mediante un archivo .htaccess, pero aún es posible en ciertas configuraciones de servidor.






Newsletter Podcast
(30 gg free)