CVE-2026-2413: SQL injection en plugin Ally afecta 400K
CVE-2026-2413 es una inyección SQL sin autenticación en el plugin Ally para Elementor que expone más de 400.000 sitios WordPress. La corrección está disponible en la versión 4.1.0.
Categorizado en:
CVE
57 Artículos
57
CVE-2026-5753: suscriptores pueden bajar tu backup
CVE-2026-5753 permite que usuarios con rol básico descarguen backups completos del sitio, incluyendo wp-config.php. Afecta versiones ≤2.83 de All-in-One WP Migration Unlimited Extension.
CVE-2026-6692: Slider Revolution tiene RCE crítico
CVE-2026-6692 afecta Slider Revolution 7.0.0-7.0.10 con CVSS 9.9: subida arbitraria de archivos y RCE desde nivel suscriptor. Parche disponible en 7.0.11.
CVE-2026-4348: SQL Injection en BetterDocs Pro
CVE-2026-4348 afecta a BetterDocs Pro ≤3.7.0: inyección SQL sin autenticación que expone toda la base de datos WordPress. Solución: actualizar a 3.7.1.
JetEngine: SQL injection crítico sin autenticación
CVE-2026-4662 y CVE-2026-4352 afectan JetEngine hasta 3.8.6.1 con inyección SQL no autenticada. Guía de actualización y mitigación.
Betheme RCE 2026: actualizá ya a 28.4.1.1
CVE-2026-6261 afecta Betheme hasta 28.4: cualquier usuario con rol autor puede ejecutar código remoto. Parche disponible en versión 28.4.1.1.
IDOR en GenerateBlocks: CVE-2026-3454 expone emails
CVE-2026-3454 afecta GenerateBlocks hasta la versión 2.2.0 y permite extraer emails de autores y metadatos privados. La versión 2.2.1 resuelve el problema.
CVE-2026-3208: Mercado Pago expone claves PIX
CVE-2026-3208 expone QR PIX con claves fiscales del comerciante en versiones hasta 8.7.11 del plugin Mercado Pago para WooCommerce. La solución está en 8.7.12.
CVE-2026-6704: XSS en plugin Blog Settings
CVE-2026-6704 es una vulnerabilidad XSS reflejada en el plugin Blog Settings que afecta todas las versiones hasta la 1.0 y no requiere autenticación.