Vulnerabilities ›

CVE-2026-6898

High

CWE-269 — Weakness Type

                    Published: May 23, 2026                      ·  Modified: May 30, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember3_Hooks::generate_api_key' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.

🤖 AI Executive Summary

The Wishlist Member WordPress plugin versions up to 3.30.1 contain a capability check vulnerability allowing authenticated subscribers to generate API keys and create administrator accounts. This enables complete compromise of affected WordPress sites through unauthorized privilege escalation.

📄 Description (Arabic)

تحتوي إضافة Wishlist Member على عيب في التحقق من الصلاحيات في دالة generate_api_key مما يسمح للمستخدمين المصرح لهم بمستوى المشترك أو أعلى بإنشاء مفاتيح API سرية. يمكن استخدام هذه المفاتيح لإنشاء مستويات عضوية جديدة بصلاحيات المسؤول وتسجيل حسابات مسؤول تعسفية. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress المتأثر.

🤖 ملخص تنفيذي (AI)

ثغرة في إضافة Wishlist Member لـ WordPress تصل إلى الإصدار 3.30.1 تسمح للمستخدمين المصرح لهم بإنشاء مفاتيح API وحسابات مسؤول. يمكن لأي مستخدم بصلاحيات مشترك أو أعلى السيطرة الكاملة على موقع WordPress.

🤖 AI Intelligence Analysis Analyzed: May 26, 2026 18:15

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1078.003 T1098.002 T1190

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Wishlist Member plugin to version 3.30.2 or later immediately. Audit all API keys and administrator accounts for unauthorized creation. Review access logs for suspicious activity. Implement role-based access controls and monitor subscriber account activities closely.

🔧 خطوات المعالجة (العربية)

قم بتحديث إضافة Wishlist Member إلى الإصدار 3.30.2 أو أحدث فوراً. قم بمراجعة جميع مفاتيح API والحسابات الإدارية للتحقق من الإنشاء غير المصرح به. راجع سجلات الوصول للنشاط المريب. طبق ضوابط الوصول القائمة على الأدوار ومراقبة أنشطة حسابات المشتركين.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

6.1.1 6.1.2 6.2.1

🔵 SAMA CSF

AC-2 AC-3 AC-5

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://wishlistmember.com/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/05ce62ce-a02f-431e-95b1-ade38...

security@wordfence.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-269

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-05-23

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

CWE-269

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-6898

Introduce Yourself

Sign In Required