Dokan <=3.7.19 - Authenticated(Shop Manager+) PHP Object Injection via create_dummy_vendor

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección de objetos PHP en el plugin Dokan Lite, que afecta a versiones anteriores a la 3.7.20. Esta vulnerabilidad permite a usuarios autenticados con rol de 'Shop Manager' ejecutar código malicioso en el servidor.

Contexto técnico

La vulnerabilidad se origina en la función 'create_dummy_vendor' del plugin, donde no se valida adecuadamente la entrada del usuario, permitiendo la inyección de objetos PHP. Esto expone la superficie de ataque a cualquier usuario autenticado que tenga permisos de gestión de tienda.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante comprometido pueda ejecutar código arbitrario en el servidor, lo que podría llevar a la toma de control total del sitio. Esto representa un riesgo significativo para la integridad y disponibilidad del negocio.

Vector de explotación

Generalmente, la explotación de esta vulnerabilidad se lleva a cabo mediante la creación de una solicitud maliciosa que aprovecha la función vulnerable, permitiendo al atacante inyectar objetos PHP y ejecutar código no autorizado.

Mitigación recomendada

Para mitigar esta vulnerabilidad, es fundamental actualizar el plugin Dokan Lite a la versión 3.7.20 o superior. Además, se recomienda revisar los permisos de los usuarios y aplicar principios de mínimo privilegio.

Señales de detección

Señales de riesgo incluyen registros inusuales de actividad de usuarios con rol de 'Shop Manager', así como intentos de acceso a funciones no autorizadas del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 3.7.20 del plugin Dokan Lite. Se recomienda a los administradores de sitios que utilicen este plugin realizar la actualización de inmediato.