CVE-2026-9104: XSS en Draft List para WordPress
CVE-2026-9104 es una falla de XSS almacenado en el plugin Draft List para WordPress que afecta versiones hasta 2.6.3. La solución es actualizar a 2.6.4.
CVE-2026-4834: SQL crítica en WP ERP Pro sin auth
CVE-2026-4834 expone WP ERP Pro a inyección SQL sin autenticación. CVSS 7.5, impacto alto en confidencialidad. Guía para detectar y mitigar.
Secuestro WordPress por plugin: 400K sitios en riesgo
CVE-2025-11833 afectó 400.000 sitios. Cómo se produce el secuestro de WordPress por vulnerabilidad plugin, cómo detectarlo y cómo recuperar el sitio.
Backdoor en plugin WordPress activo 5 años: 70K sitios
El plugin Quick Page/Post Redirect tuvo un backdoor dormante durante cinco años antes de ser detectado en abril 2026. Más de 70.000 sitios afectados.
CVE-2026-1543 en Avada Builder: actualizá ya
CVE-2026-1543 es una vulnerabilidad Stored XSS en Avada Builder hasta v3.15.2. La versión parcheada es 3.15.3.
CVE-2026-4811: XSS en WPB Floating Menu para WordPress
CVE-2026-4811 es una vulnerabilidad XSS almacenado en el plugin WPB Floating Menu que afecta versiones hasta 1.0.8. La solución es actualizar a 1.0.9.
CVE-2026-8424: CSRF en plugin WordPress de AdSense
CVE-2026-8424 es una vulnerabilidad CSRF en el plugin Remove Yellow BGBOX que permite a un atacante resetear la configuración de AdSense sin autenticación.
CVE-2026-8624: XSS en LJ comments import WordPress
CVE-2026-8624 es una vulnerabilidad Reflected XSS en LJ comments import reloaded para WordPress. Afecta versiones hasta 0.97.1 y tiene CVSS 6.1.
CVE-2026-8626: XSS en el plugin SponsorMe
CVE-2026-8626 es una vulnerabilidad XSS reflejada en el plugin SponsorMe para WordPress (versiones hasta 0.5.2) publicada el 20 de mayo de 2026.