CVE-2026-6895 in Wishlist Member Plugininformação

Sumário

de VulDB • 31/05/2026

O plugin WishList Member para WordPress é vulnerável a Missing Authorization, o que leva à Divulgação de Informações Sensíveis e Escalada de Privilégios nas versões até a 3.30.1, inclusive. Isso ocorre devido à ausência de verificações de capacidade (capability checks) na função 'export_settings'. Esta função retorna a Chave Secreta da API REST para o atacante na resposta JSON da AJAX. Um atacante que obtenha essa chave pode autenticar-se na API WishList Member, criar um novo nível de associação com a função de administrador do WordPress e registrar uma conta de usuário arbitrária com nível de administrador, resultando no controle total do site.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Wordfence

Reservar

23/04/2026

Divulgação

23/05/2026

Moderação

aceite

Entrada

VDB-365304

CPE

pronto

EPSS

0.00044

KEV

não

Atividades

muito baixo

Sector

Hostingprovider

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6895
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6895
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6895/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!