Real-Time WordPress Vulnerabilities

• Published: 15 Jun 2026
• CVE-2026-10093
• CVSS Score: 6.4

El complemento File Sharing & Download Manager – User Private Files para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro 'fldr_ttl' en todas las versiones hasta la 2.1.6 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Published: 15 Jun 2026
• CVE-2026-8444
• CVSS Score: 8.8

El complemento WP Review Slider Pro para WordPress es vulnerable a la inyección SQL a través del parámetro 'curselrevs[]' de la acción AJAX wpfb_find_reviews en versiones hasta la 12.7.1 inclusive. Esto se debe a que el controlador lee $_POST['curselrevs'] sin formato sin desinfección ni conversión de tipos, y luego concatena cada elemento de la matriz directamente en una cláusula `WHERE id IN (...)` sin citar y ejecutar a través de $wpdb->get_results() sin $wpdb->prepare(). Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.

• Published: 15 Jun 2026
• CVE-2026-5149
• CVSS Score: 6.5

El complemento RTMKit para WordPress es vulnerable a una autorización incorrecta en todas las versiones hasta la 2.0.7 inclusive. Esto se debe a que el punto final get_submission_content AJAX carece de una verificación de capacidad para verificar que un usuario tiene permiso para acceder a los datos de envío del formulario solicitado. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, vean envíos de formularios arbitrarios de otros usuarios iterando el parámetro entradas_id.

• Published: 15 Jun 2026
• CVSS Score: 6.4

El complemento King Addons para Elementor para WordPress es vulnerable a secuencias de comandos entre sitios almacenados a través del parámetro 'form_page_id' en versiones hasta la 51.1.62 inclusive. Esto se debe a una desinfección de entrada insuficiente en la función add_to_submissions(), que aplica sanitize_text_field() (que conserva los caracteres entre comillas dobles) antes de almacenar el valor en el metadato de la publicación, combinado con la salida faltante que se escapa en el Función king_addons_submissions_custom_column_content(), que concatena el valor almacenado en un atributo href HTML a través de admin_url() sin envolver el resultado en esc_url(). Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Published: 15 Jun 2026
• CVE-2026-8443
• CVSS Score: 8.8

El complemento WP Review Slider Pro para WordPress es vulnerable a la inyección SQL a través de los parámetros 'tipos' y 'ubicaciones' de la acción AJAX wppro_get_overall_chart_data en versiones hasta la 12.7.1 inclusive. Esto se debe al uso de stripslashes() en cadenas JSON proporcionadas por el usuario antes de json_decode(), lo que elimina el escape aplicado por wp_magic_quotes; los valores de matriz decodificados resultantes se concatenan directamente en cláusulas WHERE de SQL sin parametrización, y la consulta construida se ejecuta mediante $wpdb->get_results() sin $wpdb->prepare(). Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos. El controlador también devuelve la cadena SQL ejecutada en su respuesta JSON, lo que simplifica la construcción de Oracle para una explotación ciega.

• Published: 15 Jun 2026
• CVE-2026-10780
• CVSS Score: 4.3

El complemento Static Block para WordPress es vulnerable a Insecure Direct Object Reference en todas las versiones hasta la 2.2 inclusive. Esto se debe a que el controlador de código corto static_block_content() recupera una publicación a través de get_post() usando un atributo 'id' proporcionado por el atacante y genera su post_content sin verificar el estado de la publicación (privada, borrador, pendiente) o la capacidad del usuario solicitante para verla. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, lean el contenido de publicaciones arbitrarias, incluidos bloques estáticos privados y borradores (y cualquier otro tipo de publicación) creados por administradores, al incorporar el shortcode [static_block_content id="X"] en su propio contenido y obtener una vista previa del mismo.

• Published: 15 Jun 2026
• CVE-2026-9187
• CVSS Score: 5.3

El complemento Abandoned Contact Form 7 para WordPress es vulnerable a la eliminación arbitraria y no autorizada de publicaciones en versiones hasta la 2.2 inclusive. Esto se debe a una verificación de capacidad faltante y a una validación nonce faltante en la función action__remove_abandoned(), que está registrada en los ganchos wp_ajax_remove_abandoned y wp_ajax_nopriv_remove_abandoned. El controlador toma un parámetro recovery_id proporcionado por el usuario de $_POST y lo pasa directamente a wp_delete_post() con el indicador de eliminación forzada establecido en verdadero, sin verificar que la ID pertenece al tipo de publicación cf7af_data del complemento. Esto hace posible que atacantes no autenticados eliminen permanentemente publicaciones, páginas u otro contenido arbitrario en el sitio afectado enviando un único admin-ajax.

• Published: 15 Jun 2026
• CVE-2026-6933
• CVSS Score: 8.8

El complemento Premmerce Dev Tools para WordPress es vulnerable a la ejecución remota de código debido a la falta de autorización en versiones hasta la 2.0 inclusive. Esto se debe a que la función 'generatePluginHandler' carece de verificación de autorización antes de procesar los datos POST proporcionados por el usuario, combinada con la función 'createFromStub' que realiza la sustitución de cadenas no saneadas del parámetro 'premmerce_plugin_namespace' directamente en archivos auxiliares de PHP escritos en el directorio wp-content/plugins/. Un atacante puede inyectar un punto y coma seguido de código PHP arbitrario en el parámetro del espacio de nombres, lo que hace que el archivo de complemento generado contenga y ejecute ese código cuando se accede a través de HTTP. Esto hace posible que atacantes autenticados con acceso de nivel de suscriptor y superior creen archivos PHP arbitrarios en el servidor y logren la ejecución remota de código.

• Published: 15 Jun 2026
• CVE-2026-6964
• CVSS Score: 5.3

El complemento Videoconferencia con Zoom para WordPress es vulnerable a la omisión de autorización en todas las versiones hasta la 4.6.7 inclusive. Esto se debe a que el complemento no verifica adecuadamente que un usuario esté autorizado para realizar una acción. Esto hace posible que atacantes no autenticados obtengan la clave API del SDK de Zoom del sitio y un JWT recién firmado que se puede usar con el SDK web de Zoom para unirse a cualquier reunión de Zoom asociada con esas credenciales sin una invitación legítima.

• Published: 12 Jun 2026
• CVE-2026-5513
• CVSS Score: 7.2

El sistema de programación y reserva de citas en línea: el complemento Bookly para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través de la cookie 'bookly-customer-ful-name' en versiones hasta la 27.2 inclusive debido a una desinfección insuficiente de la entrada y al escape de la salida. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. La explotación requiere que la configuración 'Recordar información personal en las cookies' esté habilitada (deshabilitada de forma predeterminada).

• Published: 12 Jun 2026
• CVE-2026-1291
• CVSS Score: 4.3

El complemento Meow Gallery para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en el punto final de la API REST /wp-json/meow-gallery/v1/save_shortcode en todas las versiones hasta la 5.4.4 inclusive. Esto hace posible que atacantes autenticados, con acceso a nivel de autor y superior, creen o sobrescriban arbitrariamente registros de shortcode de galería existentes proporcionando un valor de identificación controlado por el usuario. El punto final realiza operaciones de actualización de la base de datos sin verificar que el usuario solicitante esté autorizado a modificar el registro de la galería al que se hace referencia o crear el suyo propio.

• Published: 12 Jun 2026
• CVE-2026-2470
• CVSS Score: 4.3

El complemento de creación de sitios web Page Builder: Pagelayer – Arrastrar y soltar para WordPress es vulnerable a una autorización incorrecta en todas las versiones hasta la 2.0.9 inclusive. Esto se debe a que el controlador AJAX pagelayer_save_content permite a los usuarios con capacidad básica de posedición conservar los metadatos de pagelayer_contact_templates en las publicaciones que pueden editar (incluidas las publicaciones pendientes), mientras que el punto final no autenticado pagelayer_contact_submit consume posteriormente esos metadatos mediante identificadores de formulario/publicación controlados por el usuario sin imponer un límite de contexto privilegiado o de publicación. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, configuren plantillas de correo de formulario de contacto arbitrarias que se pueden utilizar mediante el envío de formularios no autenticados a través del parámetro de contactos. En implementaciones típicas, esta función de plantilla se configura a través de la interfaz de usuario de Pagelayer Pro; sin embargo, la ruta de confianza de backend vulnerable todavía está presente. Este problema puede estar encadenado con CVE-2026-2442 para aumentar la explotabilidad y el control del atacante sobre el comportamiento del correo electrónico saliente.

• Published: 12 Jun 2026
• CVE-2026-3297
• CVSS Score: 6.4

El complemento de creación de sitios web Page Builder: Pagelayer – Arrastrar y soltar para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del bloque Anchor en versiones hasta la 2.0.9 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Published: 12 Jun 2026
• CVE-2026-9629
• CVSS Score: 6.4

El complemento Canvas para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro 'etiqueta' en todas las versiones hasta la 2.5.2 inclusive debido a una desinfección de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.

• Published: 12 Jun 2026
• CVE-2026-9134
• CVSS Score: 6.4

El complemento FooGallery para WordPress es vulnerable a secuencias de comandos almacenadas entre sitios a través del parámetro de código corto 'custom_attribute_key' en versiones hasta la 3.1.31 inclusive. Esto se debe a una lista negra incompleta del controlador de eventos de JavaScript en la función foogallery_sanitize_javascript(), que bloquea solo un subconjunto de atributos de eventos HTML (onmouseover, onmouseout, onpointerenter, onclick, onload, onchange, onerror) al tiempo que permite otros como 'onmouseenter', combinado con la falla al escapar de la clave de atributo al crear el HTML del contenedor de la galería en foogallery_build_container_attributes_safe(). Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.