Burst Statistics: vulnerabilidad crítica CVSS 9.8 en 2026
CVE-2026-8181 es un bypass de autenticación crítico (CVSS 9.8) en Burst Statistics que permite crear cuentas admin sin contraseña. Afecta versiones 3.4.0 a 3.4.1.1. Actualizá a 3.4.2.
Malware WordPress usa Steam como C2: 1.980 sitios
Una campaña activa infectó ~1.980 sitios WordPress usando perfiles de Steam Community como infraestructura C2 con caracteres Unicode invisibles.
CVE-2026-5191: XSS en Tiled Gallery Carousel
CVE-2026-5191 expone el plugin Tiled Gallery Carousel Without JetPack hasta v3.1 a Stored XSS. Qué riesgo implica y cómo mitigarlo.
CVE-2026-9722: CSRF en Laiser Tag WordPress
CVE-2026-9722 es una vulnerabilidad CSRF en el plugin Laiser Tag que permite modificar configuraciones críticas del plugin, incluyendo la API key, en sitios con versiones hasta 1.2.5.
CVE-2026-3722: Stored XSS en Auto Image Attributes
CVE-2026-3722 es un Stored XSS en Auto Image Attributes para WordPress que afecta hasta la versión 4.9 y permite inyectar scripts vía metadatos de imágenes.
CVE-2026-9048: tus tokens de Instagram en riesgo
CVE-2026-9048 afecta Slider Revolution 7.0.0-7.0.14 y expone credenciales de Instagram, YouTube y Facebook a usuarios Contributor. Cómo verificar y solucionar.
WP Maps Pro: vulnerabilidad crítica permite crear admins
CVE-2026-8732 en WP Maps Pro permite crear cuentas de administrador sin autenticación. Afecta versiones 6.1.0 e inferiores; el parche está en la 6.1.1.
Kirki vulnerable: escalación de privilegios sin login
Kirki 6.0.6 y anteriores tienen una falla crítica que permite escalar privilegios sin autenticación. El parche está en la versión 6.0.7.
CVE-2026-8732: WP Maps Pro permite crear admins sin
CVE-2026-8732 en WP Maps Pro permite crear admins de WordPress sin autenticación. Más de 3.600 intentos de explotación en 24 horas. Actualizá a v6.1.1.