CVE-2026-6898

Nome do Software Vulnerável e Versões Afetadas Wishlist Member versões anteriores a 3.30.2

Descrição O plugin Wishlist Member para WordPress permite a modificação não autorizada de dados devido a uma verificação de capacidade ausente na função generate api key(). Atacantes autenticados com nível de acesso Assinante (Subscriber) ou superior podem atualizar a Chave Secreta da REST API. Isso permite a criação de um novo nível de assinatura atribuído à função de administrador do WordPress e o registro de uma conta de usuário arbitrária com nível de administrador, resultando na tomada total de controle do site.

Recomendações Atualize para uma versão posterior à 3.30.1. Como medida paliativa temporária, restrinja o acesso à função generate api key() para evitar que usuários não autorizados modifiquem a Chave Secreta da API.