Se ha descubierto una vulnerabilidad crítica en el plugin de WordPress Burst Statistics, una herramienta de análisis enfocada en la privacidad. El fallo, identificado como CVE-2026-8181 y detectado el 8 de mayo de 2026 por la plataforma PRISM de Wordfence, expone a más de 200.000 sitios web al riesgo de que atacantes tomen el control total de las cuentas mediante el bypass de autenticación.

El plugin de WordPress Avada Builder, utilizado en más de un millón de sitios web, presenta dos vulnerabilidades graves. Según el investigador Rafie Muhammad, estos fallos podrían permitir que atacantes roben datos sensibles y accedan a archivos del servidor mediante inyecciones SQL y lectura de archivos. Se advierte que los sitios que no apliquen los parches de seguridad podrían ser explotados activamente.

Checkmarx detectó una versión maliciosa de su plugin de Jenkins, publicada por el grupo TeamPCP, que contiene el malware Shai-Hulud. Esta brecha es peligrosa ya que permite el acceso a códigos fuente y secretos en los procesos de compilación. La empresa insta a los usuarios a verificar que utilicen la versión oficial y trabaja en eliminar la versión comprometida.

Microsoft ha lanzado Legal Agent, un plugin de Word con IA que amenaza con automatizar tareas legales, afectando especialmente a becarios y abogados junior, revolucionando la industria legal con herramientas accesibles.

Más de 400.000 sitios web están en riesgo debido a que hackers explotan una vulnerabilidad en el plugin Breeze Cache (CVE-2026-3844).

Los atacantes están aprovechando un fallo en Breeze Cache (CVE-2026-3844) para subir archivos sin necesidad de iniciar sesión. Investigadores de Wordfence han detectado más de 170 ataques. Los actores maliciosos están explotando una vulnerabilidad crítica, registrada como CVE-2026-3844 (con una puntuación CVSS de 9.8), en el plugin de WordPress Breeze Cache, lo que les permite subir archivos a un servidor sin autenticación.

Una grave falla de seguridad en el popular plugin de WordPress Ninja Forms – File Upload ha dejado aproximadamente 50.000 sitios web vulnerables a una toma de control completa. Registrada como CVE-2026-0740, esta vulnerabilidad tiene una puntuación de gravedad CVSS máxima de 9.8, lo que la convierte en una amenaza severa que requiere atención inmediata por parte de los administradores de sitios web.

Se ha revelado una falla de seguridad de alta gravedad en Smart Slider 3, uno de los plugins de creación de sliders más utilizados en WordPress. Con más de 800.000 instalaciones activas, esta vulnerabilidad deja expuestos a un enorme número de sitios web al riesgo de robo de datos sensibles. Registrada como CVE-2026-3098, esta falla de severidad media permite a atacantes con permisos mínimos acceder y descargar información altamente confidencial 

OpenClaw, una plataforma de agentes de IA de código abierto en rápido crecimiento, enfrenta graves riesgos en su cadena de suministro, ya que los atacantes envenenan su mercado de plugins ClawHub con "habilidades" maliciosas. Las firmas de seguridad SlowMist y Koi Security han descubierto cientos de extensiones comprometidas que despliegan infostealers como Atomic Stealer. OpenClaw permite a los agentes de IA locales automatizar flujos de trabajo, interactuar con servicios y controlar dispositivos.

Se ha descubierto una vulnerabilidad crítica de puerta trasera en el plugin LA-Studio Element Kit para Elementor, un complemento popular de WordPress utilizado por más de 20.000 sitios activos. Esta falla de seguridad permite a los atacantes crear cuentas de administrador sin necesidad de autenticación, poniendo en riesgo de toma completa a miles de sitios web.

Una vulnerabilidad crítica de escalada de privilegios no autenticada en el plugin de WordPress Modular DS permite a los atacantes obtener acceso instantáneo de administrador, con explotación confirmada en la naturaleza. Afectando a más de 40.000 sitios, la falla en versiones hasta la 2.5.1 ha impulsado parches urgentes y mitigaciones por parte de Patchstack y el proveedor. Modular DS, desarrollado por modulards.com