Betheme RCE 2026: actualizá ya a 28.4.1.1
CVE-2026-6261 afecta Betheme hasta 28.4: cualquier usuario con rol autor puede ejecutar código remoto. Parche disponible en versión 28.4.1.1.
Slider Revolution tiene una falla seria: actualizá ahora
Wordfence confirmó una vulnerabilidad de carga arbitraria de archivos en Slider Revolution. Afecta más de 4 millones de sitios WordPress. El parche está en la versión 7.0.10.
IDOR en GenerateBlocks: CVE-2026-3454 expone emails
CVE-2026-3454 afecta GenerateBlocks hasta la versión 2.2.0 y permite extraer emails de autores y metadatos privados. La versión 2.2.1 resuelve el problema.
CVE-2026-3208: Mercado Pago expone claves PIX
CVE-2026-3208 expone QR PIX con claves fiscales del comerciante en versiones hasta 8.7.11 del plugin Mercado Pago para WooCommerce. La solución está en 8.7.12.
CVE-2026-3844: Breeze Cache bajo ataque activo
CVE-2026-3844 en Breeze Cache permite ejecución remota de código sin autenticación. Afecta 400.000+ sitios. La versión 2.4.5 soluciona el problema.
CVE-2026-6704: XSS en plugin Blog Settings
CVE-2026-6704 es una vulnerabilidad XSS reflejada en el plugin Blog Settings que afecta todas las versiones hasta la 1.0 y no requiere autenticación.
CVE-2026-3359: SQL Injection en Form Maker sin auth
CVE-2026-3359 permite inyección SQL sin autenticación en Form Maker by 10Web hasta v1.15.42. Cómo parchear y detectar explotación.
CVE-2026-3456: inyección SQL crítica en GeekyBot
CVE-2026-3456 afecta al plugin GeekyBot hasta versión 1.2.0 con una inyección SQL no autenticada que expone toda la base de datos. CVSS 7.5 Alta.
CVE-2026-4803: XSS en Royal Elementor Addons
CVE-2026-4803 es un XSS almacenado en Royal Elementor Addons (hasta v1.7.1056) que permite inyección de scripts sin autenticación. Actualizá a 1.7.1057.