Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy <= 5.0.2 - Authenticated (Customer+) Privilege Escalation en Dokan Lite - version 5.0.3

Resumen ejecutivo

Se ha identificado una vulnerabilidad de escalación de privilegios en el plugin Dokan Lite, afectando a versiones anteriores a la 5.0.3. Este fallo permite a usuarios autenticados elevar sus privilegios, lo que puede comprometer la seguridad del sitio y la integridad de los datos.

Contexto técnico

La vulnerabilidad se encuentra en el componente del plugin Dokan Lite, utilizado para crear marketplaces en WooCommerce. La explotación se produce a través de una falta de validación en las funciones que gestionan los permisos de usuario, permitiendo que clientes autenticados obtengan privilegios adicionales.

Impacto potencial

El impacto potencial incluye el acceso no autorizado a funcionalidades administrativas, lo que podría llevar a la modificación de datos sensibles o la gestión de la tienda sin autorización. Esto representa un riesgo significativo para la seguridad y la confianza del cliente.

Vector de explotación

La explotación suele realizarse mediante el envío de solicitudes manipuladas por un usuario autenticado que intenta acceder a funciones restringidas del plugin.

Mitigación recomendada

Actualizar el plugin Dokan Lite a la versión 5.0.3 o superior. Revisar los permisos de usuario y asegurarse de que están correctamente configurados. Implementar controles adicionales de seguridad, como la autenticación de dos factores para usuarios con privilegios elevados.

Señales de detección

Señales de riesgo incluyen logs de intentos de acceso a funciones administrativas por parte de usuarios no autorizados y cambios inesperados en la configuración del plugin.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.0.3. No se han confirmado casos de explotación en versiones posteriores.