CVE-2026-6897

Nome do Software Vulnerável e Versões Afetadas Wishlist Member versões anteriores a 3.30.2

Descrição O plugin Wishlist Member para WordPress permite a modificação não autorizada de dados porque a função save settings() em WishListMemberFeaturesTeam Accounts carece de uma verificação de capacidade. Atacantes autenticados com acesso de nível Assinante (Subscriber) ou superior podem atualizar opções arbitrárias do plugin, incluindo a Chave Secreta da REST API. Isso pode ser utilizado para criar um novo nível de assinatura com a função de administrador do WordPress e registrar uma conta de usuário de nível administrador, resultando na tomada total de controle do site.

Recomendações Atualize para uma versão posterior à 3.30.1. Como medida paliativa temporária, restrinja o acesso à função save settings() para evitar que usuários não autorizados modifiquem as configurações do plugin.