Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 4.2.4 - Insecure Direct Object Reference to PayPal Account Takeover and Sensitive Information Disclosure

Resumen ejecutivo

Se ha identificado una vulnerabilidad crítica en el plugin Dokan Lite, que permite la toma de control de cuentas de PayPal y la divulgación de información sensible. Esta falla afecta a las versiones hasta la 4.2.4 y ha sido catalogada con un CVSS de 8.1.

Contexto técnico

La vulnerabilidad se clasifica como una referencia directa a objetos inseguros (IDOR), lo que permite a un atacante acceder a información sensible al manipular parámetros en las solicitudes. Esto puede llevar a la toma de control de cuentas de PayPal, especialmente en entornos donde se gestionan múltiples vendedores.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que compromete la seguridad financiera de los usuarios y la integridad de la información sensible. Esto podría resultar en pérdidas económicas y daños a la reputación de la plataforma, además de posibles repercusiones legales.

Vector de explotación

Los atacantes suelen explotar esta vulnerabilidad manipulando las solicitudes HTTP para acceder a objetos que no deberían estar disponibles, permitiendo así la toma de control de cuentas de PayPal de los usuarios.

Mitigación recomendada

Se recomienda actualizar el plugin Dokan Lite a la versión 4.2.5 o superior. Además, se sugiere revisar los registros de acceso y las configuraciones de seguridad para mitigar riesgos adicionales.

Señales de detección

Señales de posible explotación incluyen accesos no autorizados a cuentas de PayPal y patrones inusuales en las solicitudes hacia el plugin, así como intentos de manipulación de parámetros en la URL.

Alcance afectado

Las versiones de Dokan Lite hasta la 4.2.4 están afectadas. Es crucial que todas las instalaciones que utilicen este plugin realicen la actualización correspondiente.