CVE-2026-6897— Wishlist Member <=3.30.1 任意插件选项更新漏洞
Possible ATT&CK Techniques 3AI
T1078 · Valid Accounts T1136 · Create Account T1190 · Exploit Public-Facing ApplicationAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| Wishlist Member | Wishlist Member | ≤ 3.30.1 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-6897の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Plugin Options Update via 'wishlistmember_team_accounts_save_settings' AJAX action
ソース: NVD (National Vulnerability Database)
脆弱性説明
The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember\Features\Team_Accounts::save_settings' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update arbitrary plugin options, includes the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
特权管理不恰当
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| Wishlist Member | Wishlist Member | 0 ~ 3.30.1 | - |
II. CVE-2026-6897の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-6897のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-6897 厂商安全公告 (1)
CVE-2026-6897 厂商页面 (1)
Same Patch Batch · Wishlist Member · 2026-05-23 · 4 CVEs total
| CVE-2026-6895 | 8.8 HIGH | Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secre |
| CVE-2026-6898 | 8.8 HIGH | WishList Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) Generate |
| CVE-2026-6419 | 8.8 HIGH | Wishlist Member <= 3.30.1 - Missing Authorization to Authenticated (Subscriber+) API Secre |
IV. 関連脆弱性
同じ弱点: CWE-269
- CVE-2026-6419
Wishlist Member <= 3.30.1 - Missing Authorization to Authent - CVE-2026-6895
Wishlist Member <= 3.30.1 - Missing Authorization to Authent - CVE-2026-6898
WishList Member <= 3.30.1 - Missing Authorization to Authent - CVE-2026-23663
Microsoft Global Secure Access (GSA) Information Disclosure - CVE-2026-40172
authentik: Privilege Escalation via User PATCH: Superuser Gr
V. CVE-2026-6897へのコメント
まだコメントはありません