CVE-2026-6895

Nome do Software Vulnerável e Versões Afetadas WishList Member versões anteriores a 3.30.2

Descrição A falta de autorização na função export settings() permite a divulgação de informações sensíveis e a escalada de privilégios. A função não realiza verificações de capacidade, permitindo que um invasor recupere a Chave Secreta da API REST por meio de uma resposta JSON AJAX. Com esta chave, um invasor pode se autenticar na API do WishList Member, criar um novo nível de assinatura atribuído à função de administrador do WordPress e registrar uma conta de usuário arbitrária de nível administrador, resultando na tomada total de controle do site.

Recomendações Atualize para uma versão posterior à 3.30.1. Como medida paliativa temporária, restrinja o acesso à função export settings() para minimizar o risco de exploração.