CVE-2026-3359: SQL Injection en Form Maker sin auth
CVE-2026-3359 permite inyección SQL sin autenticación en Form Maker by 10Web hasta v1.15.42. Cómo parchear y detectar explotación.
Categorizado en:
CVE
57 Artículos
57
CVE-2026-3456: inyección SQL crítica en GeekyBot
CVE-2026-3456 afecta al plugin GeekyBot hasta versión 1.2.0 con una inyección SQL no autenticada que expone toda la base de datos. CVSS 7.5 Alta.
CVE-2026-4803: XSS en Royal Elementor Addons
CVE-2026-4803 es un XSS almacenado en Royal Elementor Addons (hasta v1.7.1056) que permite inyección de scripts sin autenticación. Actualizá a 1.7.1057.
CVE-2026-5159: XSS en Royal Addons Elementor
CVE-2026-5159 es una vulnerabilidad XSS stored en Royal Addons for Elementor que permite a un Contributor inyectar scripts maliciosos vía el widget Instagram Feed.
MetForm Pro XSS sin autenticación: CVE-2026-1261
MetForm Pro hasta la versión 3.9.6 tiene un XSS almacenado explotable sin autenticación (CVE-2026-1261, CVSS 7.2). Así identificás si estás afectado y cómo actualizás.
CVE-2026-0703: XSS en NextMove Lite WooCommerce
CVE-2026-0703 afecta NextMove Lite para WooCommerce hasta la versión 2.23.0 con un Stored XSS que puede comprometer el admin de tu tienda.
Ninja Forms: falla crítica expone 50.000 sitios
Falla crítica CVSS 9.8 en Ninja Forms File Upload 3.3.26 permite a atacantes subir PHP sin autenticarse. Hay explotación activa. La versión 3.3.27 corrige el problema.
WPvivid CVE-2026-1357: RCE en 900.000 sitios
CVE-2026-1357 es un RCE crítico (CVSS 9.8) en WPvivid Backup que permite toma de control total sin autenticación. Afecta versiones ≤0.9.123. El parche es la versión 0.9.124.
CVE-2026-1830: RCE crítico en WordPress sin login
CVE-2026-1830 es una vulnerabilidad RCE crítica en Quick Playground que permite subir archivos PHP maliciosos sin credenciales. CVSS 9.8, publicada en abril 2026.