CVEs
CVEs
Public CVE disclosures: WordPress plugin vulnerabilities including IDOR, broken access control, missing authorization and authentication bypass. All coordinated through Wordfence or Patchstack, patched by the vendor before disclosure.
7.5
CVE-2026-39534HIGH
CWE-862·3K WordPress installs
Broken access control in the WP Directory Kit plugin allows unauthenticated attackers to access and retrieve data served by privileged plugin actions without any authorization check.Control de acceso roto en el plugin WP Directory Kit que permite a atacantes no autenticados acceder y extraer datos expuestos por acciones del plugin con privilegios sin ninguna comprobación de autorización.
9.3
CVE-2026-39531CRITICAL
CWE-89·3K WordPress installs
Unauthenticated SQL injection in the WP Directory Kit plugin allows attackers to inject arbitrary SQL through a request parameter that reaches the database layer without proper sanitization or prepared statements.Inyección SQL no autenticada en el plugin WP Directory Kit que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que llega a la capa de base de datos sin sanitización ni sentencias preparadas.
7.5
CVE-2026-39513HIGH
CWE-862·10K WordPress installs
Broken access control in the Easy Appointments plugin allows unauthenticated attackers to reach a privileged plugin action that lacks capability, authentication, and nonce checks, exposing appointment data managed by the site.Control de acceso roto en el plugin Easy Appointments que permite a atacantes no autenticados acceder a una acción privilegiada del plugin que carece de comprobaciones de capacidades, autenticación y nonce, exponiendo datos de citas gestionados por el sitio.
9.3
CVE-2026-39511CRITICAL
CWE-89·10K WordPress installs
Unauthenticated SQL injection in the WP Photo Album Plus plugin allows attackers to inject arbitrary SQL through a request parameter that is interpolated into a database query without prepared statements or proper escaping.Inyección SQL no autenticada en el plugin WP Photo Album Plus que permite a atacantes inyectar SQL arbitrario a través de un parámetro de la petición que se interpola en una consulta a la base de datos sin sentencias preparadas ni escapado adecuado.
7.2
CVE-2025-4392HIGH
CWE-79·4K WordPress installs
Stored Cross-Site Scripting (XSS) via file upload in the Shared Files plugin allows unauthenticated attackers to inject malicious scripts that execute when users access uploaded files.Cross-Site Scripting (XSS) almacenado mediante carga de archivos en el plugin Shared Files permite a atacantes no autenticados inyectar scripts maliciosos que se ejecutan cuando los usuarios acceden a los archivos subidos.
5.3
CVE-2025-3769MEDIUM
CWE-639·100K WordPress installs
Insecure Direct Object Reference (IDOR) in LatePoint plugin allows unauthenticated access to appointment details including customer names and email addresses.Referencia directa insegura a objetos (IDOR) en el plugin LatePoint permite acceso no autenticado a detalles de citas, incluyendo nombres y correos electrónicos de clientes.