Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 4.3.1 - Unauthenticated Information Disclosure in Store Reviews REST API Endpoint en Dokan Lite - version 4.3.2

Resumen ejecutivo

La extensión Dokan Lite presenta una vulnerabilidad que permite la divulgación de información sin autenticación a través de su API de reseñas. Este fallo puede comprometer datos sensibles de los usuarios, afectando la integridad del marketplace.

Contexto técnico

El fallo se localiza en el endpoint REST API de reseñas de Dokan Lite, afectando a las versiones hasta la 4.3.1. La falta de autenticación en este componente permite a atacantes acceder a información que debería estar protegida.

Impacto potencial

La explotación de esta vulnerabilidad podría permitir a un atacante acceder a información sensible, lo que podría resultar en la pérdida de confianza de los usuarios y daños reputacionales para el negocio. La severidad es media, con un CVSS de 5.3.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes a la API de reseñas sin necesidad de autenticación, lo que facilita el acceso no autorizado a la información.

Mitigación recomendada

Actualizar el plugin Dokan Lite a la versión 4.3.2 o superior para corregir la vulnerabilidad. Revisar la configuración de la API para asegurar que se requiera autenticación para acceder a datos sensibles. Realizar auditorías de seguridad periódicas para identificar y mitigar posibles vulnerabilidades en el futuro.

Señales de detección

Monitorizar los logs del servidor para detectar accesos inusuales a la API de reseñas y revisar configuraciones que permitan el acceso no autenticado.

Alcance afectado

Las versiones de Dokan Lite hasta la 4.3.1 están afectadas. No se han confirmado casos en versiones posteriores a la 4.3.2.