WishList Member 插件高危漏洞预警（CVE-2026-6898）

漏洞速览

• 漏洞编号：CVE-2026-6898
• 风险评分：8.8（高危）
• 首次披露：2026-05-22
• 最近更新：2026-05-23
• 软件类型：插件
• 软件标识：wishlist-member-x
• 受影响版本：<= 3.30.1
• 修复版本：3.31.0
• 是否已修复：是

漏洞详情

The Wishlist Member plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'WishListMember3Hooks::generateapi_key' function in all versions up to, and including, 3.30.1. This makes it possible for authenticated attackers, with Subscriber-level access and above, to update the REST API Secret Key, which can be used to create a new membership level assigned the administrator WordPress role, and register an arbitrary administrator-level user account, resulting in complete site takeover.

影响与风险

• 漏洞类型：Missing Authorization to Authenticated (Subscriber+) Generate API Secret Key via 'wlm3generateapi_key' AJAX action
• 风险说明：漏洞可能被利用以执行未授权操作，建议按官方修复方案立即升级并复核安全配置。
• 研究人员：h0xilo

修复建议

1. 按官方建议执行修复：更新至 3.31.0 或更高已修复版本。
2. 复核 administrator/shop manager 等高权限账号与角色授权。
3. 排查近期插件安装/配置变更记录，确认无异常写入。
4. 建议配合 WAF 与登录审计，持续观察可疑请求。

延伸阅读

• Wordfence 原始漏洞记录
• WordPress 插件页面
• CVE 官方记录
• CVSS 3.1 评分说明
• CVE 官方记录
• CVE 官方记录
• CVE 官方记录