CVE-2026-9185: SSN y datos expuestos en WordPress
CVE-2026-9185 permite acceso sin autenticación a datos personales de inquilinos en 6Storage Rentals <= 2.22.0. CVSS 7.5 HIGH.
CVE-2026-5714: XSS Stored en Enable Media Replace
Enable Media Replace hasta versión 4.1.8 tiene un Stored XSS (CVE-2026-5714) explotable con acceso Autor. La versión 4.1.9 lo corrige.
CVE-2026-7556: XSS en FV Flowplayer para WordPress
CVE-2026-7556 es una Stored XSS en FV Flowplayer Video Player (versiones hasta 7.5.49.7212). CVSS 6.1, solo explotable con parse_comments activo.
CVE-2026-3300: explotación activa en Everest Forms Pro
CVE-2026-3300 afecta Everest Forms Pro hasta la versión 1.9.12. CVSS 9.8, ejecución remota de código sin autenticación y explotación activa desde abril de 2026.
CVE-2026-8653: SQL injection en MasterStudy LMS
CVE-2026-8653 es una inyección SQL en MasterStudy LMS Pro Plus (hasta v4.8.20) explotable por instructores autenticados. CVSS 6.5. Parche disponible en 4.8.21.
Kirki y Burst Statistics bajo ataque activo (CVSS 9.8)
CVE-2026-8206 y CVE-2026-8181: dos fallas CVSS 9.8 en Kirki y Burst Statistics exponen más de 700k sitios WordPress bajo ataque activo confirmado por Defiant.
Vulnerabilidades críticas: Kirki y Burst Statistics
Kirki CVE-2026-8206 (CVSS 9.8) y Burst Statistics CVE-2026-8181 (CVSS 9.5): dos vulnerabilidades críticas bajo explotación activa que afectan más de 700,000 sitios WordPress.
Burst Statistics: vulnerabilidad crítica CVSS 9.8 en 2026
CVE-2026-8181 es un bypass de autenticación crítico (CVSS 9.8) en Burst Statistics que permite crear cuentas admin sin contraseña. Afecta versiones 3.4.0 a 3.4.1.1. Actualizá a 3.4.2.
Malware WordPress usa Steam como C2: 1.980 sitios
Una campaña activa infectó ~1.980 sitios WordPress usando perfiles de Steam Community como infraestructura C2 con caracteres Unicode invisibles.