Fuente base de datos: Wordfence Intelligence

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 5.0.3 - Insecure Direct Object Reference to Authenticated (Custom+) Arbitrary Order Modification via Multiple AJAX Handlers en Dokan Lite - version 5.0.4

PLUGIN MEDIUM CVE-2026-10023

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

La versión Dokan Lite hasta 5.0.3 presenta una vulnerabilidad de referencia directa a objetos inseguros que permite la modificación arbitraria de pedidos. Esta falla puede ser explotada por usuarios autenticados, comprometiendo la integridad de las transacciones en el marketplace.

Contexto técnico

La vulnerabilidad se origina en múltiples manejadores AJAX que no validan adecuadamente las solicitudes, permitiendo a un usuario autenticado modificar pedidos sin autorización. Esto representa un vector de ataque que puede ser utilizado para manipular datos críticos dentro de la plataforma.

Impacto potencial

La explotación de esta vulnerabilidad puede resultar en la alteración de pedidos, afectando la confianza del cliente y la reputación del negocio. Además, puede conllevar pérdidas económicas directas y problemas legales si se comprometen datos sensibles.

Vector de explotación

La explotación se realiza a través de llamadas AJAX manipuladas por un usuario autenticado que intenta modificar pedidos sin la debida autorización.

Mitigación recomendada

Actualizar el plugin Dokan Lite a la versión 5.0.4 o superior para cerrar la vulnerabilidad. Revisar y restringir los permisos de los usuarios que pueden realizar modificaciones en pedidos. Implementar medidas de monitoreo para detectar accesos no autorizados o modificaciones inusuales en los pedidos.

Señales de detección

Revisar los logs de acceso para identificar patrones inusuales en las solicitudes AJAX, así como cambios inesperados en el estado de los pedidos.

Alcance afectado

Las versiones afectadas son todas las versiones de Dokan Lite hasta la 5.0.3. No se han confirmado casos de explotación en versiones posteriores a la 5.0.4.

Vulnerabilidades relacionadas

HIGH PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 5.0.2 - Authenticated (Customer+) Privilege Escalation

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution <= 4.3.1 - Unauthenticated Information Disclosure in Store Reviews REST API Endpoint

MEDIUM PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 4.2.4 - Missing Authorization

HIGH PLUGIN

dokan-lite

Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 4.2.4 - Insecure Direct Object Reference to PayPal Account Takeover and Sensitive Information Disclosure

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto