CVE-2026-6895 in Wishlist Member Plugininformación

Resumen

por VulDB • 2026-05-23

El plugin WishList Member para WordPress es vulnerable a una falta de autorización (Missing Authorization) que conduce a la divulgación de información sensible y a la escalada de privilegios en las versiones 3.30.1 y anteriores. Esto se debe a la ausencia de comprobaciones de capacidades en la función 'export_settings'. Esta función devuelve la Clave Secreta de la API REST al atacante en la respuesta JSON de AJAX. Un atacante que obtenga esta clave puede autenticarse en la API de WishList Member, crear un nuevo nivel de membresía asignado al rol de administrador de WordPress y registrar una cuenta de usuario arbitraria con nivel de administrador, lo que resulta en el control total del sitio.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Reservar

2026-04-23

Divulgación

2026-05-23

Moderación

aceptado

Artículo

VDB-365304

CPE

listo

EPSS

0.00044

KEV

no

Actividades

muy bajo

Sector

Hostingprovider

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6895
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6895
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6895/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!