CVE-2026-7556: XSS en FV Flowplayer para WordPress
CVE-2026-7556 es una Stored XSS en FV Flowplayer Video Player (versiones hasta 7.5.49.7212). CVSS 6.1, solo explotable con parse_comments activo.
CVE-2026-7556 es una Stored XSS en FV Flowplayer Video Player (versiones hasta 7.5.49.7212). CVSS 6.1, solo explotable con parse_comments activo.
Kirki CVE-2026-8206 (CVSS 9.8) y Burst Statistics CVE-2026-8181 (CVSS 9.5): dos vulnerabilidades críticas bajo explotación activa que afectan más de 700,000 sitios WordPress.
CVE-2026-8181 es un bypass de autenticación crítico (CVSS 9.8) en Burst Statistics que permite crear cuentas admin sin contraseña. Afecta versiones 3.4.0 a 3.4.1.1. Actualizá a 3.4.2.
CVE-2026-5191 expone el plugin Tiled Gallery Carousel Without JetPack hasta v3.1 a Stored XSS. Qué riesgo implica y cómo mitigarlo.
CVE-2026-9722 es una vulnerabilidad CSRF en el plugin Laiser Tag que permite modificar configuraciones críticas del plugin, incluyendo la API key, en sitios con versiones hasta 1.2.5.
CVE-2026-3722 es un Stored XSS en Auto Image Attributes para WordPress que afecta hasta la versión 4.9 y permite inyectar scripts vía metadatos de imágenes.
Kirki 6.0.6 y anteriores tienen una falla crítica que permite escalar privilegios sin autenticación. El parche está en la versión 6.0.7.
CVE-2026-7509 es una vulnerabilidad Stored XSS en KIA Subtitle para WordPress que afecta versiones hasta 4.0.1. La versión 4.0.2 la corrige.
CVE-2026-8424 es una vulnerabilidad CSRF en el plugin Remove Yellow BGBOX que permite a un atacante resetear la configuración de AdSense sin autenticación.