Vulnerabilities ›

CVE-2026-6897

High

CWE-269 — Weakness Type

                    Published: May 23, 2026                      ·  Modified: May 30, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember\Features\Team_Accounts::save_settings' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update arbitrary plugin options, includes the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.

🤖 AI Executive Summary

The Wishlist Member WordPress plugin contains a capability check vulnerability allowing authenticated subscribers to modify plugin settings and REST API keys. Attackers can create administrator accounts and achieve complete site takeover.

📄 Description (Arabic)

يحتوي مكون Wishlist Member على عيب في التحقق من الصلاحيات في دالة save_settings التي تسمح للمستخدمين المصرحين بتعديل خيارات المكون التعسفية. يمكن للمهاجمين استخدام هذه الثغرة لتعديل مفتاح سر REST API وإنشاء حسابات مسؤول جديدة. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress والبيانات المرتبطة به.

🤖 ملخص تنفيذي (AI)

ثغرة في مكون Wishlist Member لـ WordPress تسمح للمستخدمين المصرحين برمستوى المشترك بتعديل إعدادات المكون ومفاتيح REST API. يمكن للمهاجمين إنشاء حسابات إدارية والسيطرة الكاملة على الموقع.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 18:15

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1078.001 T1098.002 T1190

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Wishlist Member plugin to version 3.30.2 or later immediately. Restrict user roles and capabilities through WordPress user management. Audit all user accounts for unauthorized administrator access. Review REST API keys and regenerate if compromise is suspected. Implement Web Application Firewall rules to monitor plugin option modifications.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Wishlist Member إلى الإصدار 3.30.2 أو أحدث فوراً. قيد أدوار المستخدمين والصلاحيات من خلال إدارة المستخدمين في WordPress. تدقيق جميع حسابات المستخدمين للتحقق من الوصول الإداري غير المصرح. راجع مفاتيح REST API وأعد توليدها إذا كان هناك اشتباه في الاختراق. طبق قواعد جدار الحماية لتطبيقات الويب لمراقبة تعديلات خيارات المكون.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2 5.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-6

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.1

🔗 References & Sources 2

🔗

https://wishlistmember.com/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/db251792-cbad-41e1-aaca-4cd39...

security@wordfence.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-269

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-23

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-269

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6897

Introduce Yourself

Sign In Required