CVE-2026-6419 in Wishlist Member PluginИнформация

Сводка

по VulDB • 23.05.2026

В плагине WishList Member для WordPress уязвимость повышения привилегий (Privilege Escalation) из-за отсутствия проверки авторизации (Missing Authorization) присутствует в версиях вплоть до 3.30.1 включительно. Это связано с отсутствием проверки capability и nonce в функции ajax_get_screen(). Это позволяет атакующим, имеющим уровень доступа Subscriber и выше, передать произвольный идентификатор административного экрана через параметр data[url], что приводит к загрузке и выполнению шаблона конфигурации административного API плагина без авторизации. Сгенерированный HTML-код, содержащий секретный ключ REST API плагина в открытом виде, возвращается непосредственно атакующему в ответе AJAX JSON. Атакующий, получивший этот ключ, может аутентифицироваться в API WishList Member, создать новый уровень членства с назначенной ролью администратора WordPress и зарегистрировать произвольный пользовательский аккаунт с уровнем доступа администратора, что приводит к полному захвату сайта.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

16.04.2026

Раскрытие

23.05.2026

Модерация

принято

Вход

VDB-365301

EPSS

0.00044

KEV

Нет

Деятельности

Очень низкий

Сектор

Hostingprovider

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6419
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6419
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6419/

ПредыдущийОбзорДалее

Do you want to use VulDB in your project?

Use the official API to access entries easily!