CVE-2026-6895 in Wishlist Member Plugin信息

摘要

由 VulDB • 2026-05-23

WordPress 插件 WishList Member 存在缺失授权（Missing Authorization）漏洞，导致在 3.30.1 及更早版本中发生敏感信息泄露和权限提升。该漏洞是由于 `export_settings` 函数中缺少能力检查（capability checks）所致。该函数在 AJAX JSON 响应中将 REST API 密钥返回给攻击者。获得该密钥的攻击者可以认证访问 WishList Member API，创建具有管理员 WordPress 角色的新会员等级，并注册任意管理员级别的用户账户，从而导致整个网站被接管。

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-04-23

披露

2026-05-23

管理

已接受

条目

VDB-365304

CPE

准备好

CWE

CWE-269 (已确认)

CVSS

8.8 (CNA)

EPSS

0.00044

KEV

否

活动

非常低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6895
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6895
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6895/

◂ 上一步一览下一步 ▸

Want to know what is going to be exploited?

We predict KEV entries!