The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember\Features\Team_Accounts::save_settings' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update arbitrary plugin options, includes the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.
The Wishlist Member WordPress plugin contains a capability check vulnerability allowing authenticated subscribers to modify plugin settings and REST API keys. Attackers can create administrator accounts and achieve complete site takeover.
يحتوي مكون Wishlist Member على عيب في التحقق من الصلاحيات في دالة save_settings التي تسمح للمستخدمين المصرحين بتعديل خيارات المكون التعسفية. يمكن للمهاجمين استخدام هذه الثغرة لتعديل مفتاح سر REST API وإنشاء حسابات مسؤول جديدة. هذا يؤدي إلى السيطرة الكاملة على موقع WordPress والبيانات المرتبطة به.
ثغرة في مكون Wishlist Member لـ WordPress تسمح للمستخدمين المصرحين برمستوى المشترك بتعديل إعدادات المكون ومفاتيح REST API. يمكن للمهاجمين إنشاء حسابات إدارية والسيطرة الكاملة على الموقع.
Update Wishlist Member plugin to version 3.30.2 or later immediately. Restrict user roles and capabilities through WordPress user management. Audit all user accounts for unauthorized administrator access. Review REST API keys and regenerate if compromise is suspected. Implement Web Application Firewall rules to monitor plugin option modifications.
قم بتحديث مكون Wishlist Member إلى الإصدار 3.30.2 أو أحدث فوراً. قيد أدوار المستخدمين والصلاحيات من خلال إدارة المستخدمين في WordPress. تدقيق جميع حسابات المستخدمين للتحقق من الوصول الإداري غير المصرح. راجع مفاتيح REST API وأعد توليدها إذا كان هناك اشتباه في الاختراق. طبق قواعد جدار الحماية لتطبيقات الويب لمراقبة تعديلات خيارات المكون.