Fuente base de datos: Wordfence Intelligence

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.4 - Authenticated (Subscriber+) Insecure Direct Object Reference to Information Disclosure via 'id' Parameter en Dokan Lite - version 5.0.5

PLUGIN MEDIUM CVE-2026-11987

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha detectado una vulnerabilidad en el plugin Dokan Lite (versiones <= 5.0.4) que permite la divulgación de información sensible mediante una referencia directa insegura al objeto a través del parámetro 'id'. Este fallo, clasificado como de severidad media (CVSS 4.3), puede comprometer la seguridad de los datos de los usuarios si no se mitiga adecuadamente.

Contexto técnico

La vulnerabilidad se origina en una gestión inadecuada de las solicitudes de acceso a objetos, permitiendo a usuarios autenticados (nivel Subscriber+) acceder a información que debería estar restringida. El vector de ataque se centra en el uso del parámetro 'id' en las solicitudes, lo que facilita la explotación de la debilidad.

Impacto potencial

El impacto en la seguridad puede incluir la exposición no autorizada de datos sensibles de los usuarios, lo que podría llevar a violaciones de privacidad y daños a la reputación del negocio. Esto es especialmente crítico en entornos de comercio electrónico donde la confianza del cliente es esencial.

Vector de explotación

Los atacantes pueden explotar esta vulnerabilidad enviando solicitudes manipuladas con diferentes valores en el parámetro 'id', lo que les permite acceder a información que no les corresponde.

Mitigación recomendada

Actualizar el plugin Dokan Lite a la versión 5.0.5 o superior para corregir la vulnerabilidad. Revisar y ajustar las configuraciones de permisos para los usuarios autenticados. Implementar controles adicionales para validar y sanitizar los parámetros de entrada en las solicitudes.

Señales de detección

Señales de riesgo incluyen entradas inusuales en los logs de acceso que intentan acceder a objetos no autorizados, así como cambios en la configuración de permisos de usuario.

Alcance afectado

Las versiones afectadas son todas las versiones del plugin Dokan Lite hasta la 5.0.4. No se han confirmado casos de explotación activa en versiones posteriores.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.3 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Order Modification via Multiple AJAX Handlers

HIGH PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 5.0.2 - Authenticated (Customer+) Privilege Escalation

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 4.3.1 - Unauthenticated Information Disclosure in Store Reviews REST API Endpoint

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 4.2.4 - Missing Authorization

HIGH PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 4.2.4 - Insecure Direct Object Reference to PayPal Account Takeover and Sensitive Information Disclosure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto