The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember3_Hooks::generate_api_key' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.
The Wishlist Member WordPress plugin versions up to 3.30.1 contain a capability check vulnerability allowing authenticated subscribers to generate API keys and create administrator accounts. This enables complete compromise of affected WordPress sites through unauthorized privilege escalation.
تحتوي إضافة Wishlist Member على عيب في التحقق من الصلاحيات في دالة generate_api_key مما يسمح للمستخدمين المصرح لهم بمستوى المشترك أو أعلى بإنشاء مفاتيح API سرية. يمكن استخدام هذه المفاتيح لإنشاء مستويات عضوية جديدة بصلاحيات المسؤول وتسجيل حسابات مسؤول تعسفية. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress المتأثر.
ثغرة في إضافة Wishlist Member لـ WordPress تصل إلى الإصدار 3.30.1 تسمح للمستخدمين المصرح لهم بإنشاء مفاتيح API وحسابات مسؤول. يمكن لأي مستخدم بصلاحيات مشترك أو أعلى السيطرة الكاملة على موقع WordPress.
Update Wishlist Member plugin to version 3.30.2 or later immediately. Audit all API keys and administrator accounts for unauthorized creation. Review access logs for suspicious activity. Implement role-based access controls and monitor subscriber account activities closely.
قم بتحديث إضافة Wishlist Member إلى الإصدار 3.30.2 أو أحدث فوراً. قم بمراجعة جميع مفاتيح API والحسابات الإدارية للتحقق من الإنشاء غير المصرح به. راجع سجلات الوصول للنشاط المريب. طبق ضوابط الوصول القائمة على الأدوار ومراقبة أنشطة حسابات المشتركين.