Dokan Pro <= 5.0.4 - Unauthenticated SQL Injection via 'latitude' and 'longitude' Parameters (inyeccion SQL) - version 5.0.5

Resumen ejecutivo

Se ha identificado una vulnerabilidad de inyección SQL en el plugin Dokan Pro, que afecta a las versiones hasta la 5.0.4. Este fallo permite a un atacante no autenticado ejecutar consultas SQL maliciosas, comprometiendo la integridad de los datos y la seguridad del sitio web.

Contexto técnico

La vulnerabilidad se presenta a través de los parámetros 'latitude' y 'longitude', lo que permite a un atacante enviar solicitudes manipuladas sin necesidad de autenticación. Esto expone el sistema a la ejecución de comandos SQL no autorizados, lo que puede llevar a la filtración de información sensible.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite a un atacante acceder a la base de datos y potencialmente robar o modificar información crítica. Esto no solo afecta la seguridad del sitio, sino que también puede dañar la confianza de los usuarios y la reputación de la empresa.

Vector de explotación

La explotación se realiza enviando solicitudes HTTP manipuladas que incluyen valores maliciosos en los parámetros 'latitude' y 'longitude', lo que desencadena la inyección SQL.

Mitigación recomendada

Actualizar el plugin Dokan Pro a la versión 5.0.5 o superior. Revisar y limpiar la base de datos para eliminar cualquier posible inyección previa. Implementar medidas de seguridad adicionales, como un firewall de aplicaciones web (WAF), para mitigar futuros ataques.

Señales de detección

Señales de riesgo incluyen registros de actividad inusual en las solicitudes HTTP que contengan los parámetros 'latitude' y 'longitude', así como errores SQL en los logs del servidor.

Alcance afectado

Las versiones afectadas son todas las versiones de Dokan Pro hasta la 5.0.4. No se han confirmado casos de explotación en versiones posteriores.