CVE-2026-8613: XSS en aThemes Addons for Elementor
CVE-2026-8613 es un XSS almacenado en aThemes Addons for Elementor que afecta versiones hasta 1.1.8, explotable con acceso contributor.
CVE-2026-8853: XSS almacenado en MW WP Form
CVE-2026-8853 es una vulnerabilidad XSS almacenado en MW WP Form que afecta todas las versiones hasta 5.1.3 y permite a atacantes con acceso editor inyectar scripts persistentes en el sitio.
CVE-2026-3018: Newsletters vulnerable sin autenticación
CVE-2026-3018 es una inyección SQL sin autenticación en el plugin Newsletters hasta versión 4.13. CVSS 7.5: actualizá el plugin ya.
CVE-2026-9019: XSS en Easy Image Collage
CVE-2026-9019 es XSS almacenado en Easy Image Collage ≤1.13.6 para WordPress. Requiere acceso de autor. Actualizá a versión 2.0.0 en menos de 5 minutos.
CVE-2026-8977: XSS en WP GDPR Cookie Consent
CVE-2026-8977 es un Stored XSS en WP GDPR Cookie Consent hasta 1.0.0. Cualquier subscriber puede inyectar scripts en el sitio. Parche disponible.
Malware WooCommerce: admins ocultos y sitemap corrupto
Malware en tema WooCommerce crea administradores invisibles en la base de datos y corrompe el sitemap XML para cloaking SEO. Guía de detección y limpieza.
CVE-2026-9185: SSN y datos expuestos en WordPress
CVE-2026-9185 permite acceso sin autenticación a datos personales de inquilinos en 6Storage Rentals <= 2.22.0. CVSS 7.5 HIGH.
CVE-2026-5714: XSS Stored en Enable Media Replace
Enable Media Replace hasta versión 4.1.8 tiene un Stored XSS (CVE-2026-5714) explotable con acceso Autor. La versión 4.1.9 lo corrige.
CVE-2026-7556: XSS en FV Flowplayer para WordPress
CVE-2026-7556 es una Stored XSS en FV Flowplayer Video Player (versiones hasta 7.5.49.7212). CVSS 6.1, solo explotable con parse_comments activo.