Dokan Pro <= 5.0.4 - Authenticated (Subscriber+) SQL Injection via 'orderby' Parameter (inyeccion SQL) - version 5.0.5

Resumen ejecutivo

Se ha identificado una vulnerabilidad de SQL Injection en el plugin Dokan Pro, afectando a versiones hasta la 5.0.4. Esta falla, de severidad media, permite a usuarios autenticados manipular consultas SQL, lo que puede comprometer la seguridad de los datos.

Contexto técnico

La vulnerabilidad se presenta a través del parámetro 'orderby', permitiendo a usuarios con rol de suscriptor o superior ejecutar consultas SQL maliciosas. Esto se traduce en una exposición directa a ataques que pueden alterar la base de datos.

Impacto potencial

El impacto en la seguridad puede permitir el acceso no autorizado a datos sensibles, afectando la integridad y confidencialidad de la información del negocio. Esto podría derivar en pérdidas económicas y daños a la reputación si se explota correctamente.

Vector de explotación

La explotación se realiza mediante la manipulación del parámetro 'orderby' en solicitudes autenticadas, lo que permite inyecciones SQL en el sistema.

Mitigación recomendada

Actualizar el plugin Dokan Pro a la versión 5.0.5 o superior para cerrar la vulnerabilidad. Revisar los logs de acceso para detectar actividad sospechosa relacionada con el uso del parámetro 'orderby'. Implementar medidas de seguridad adicionales, como la limitación de privilegios de usuarios y el uso de firewalls de aplicaciones web.

Señales de detección

Señales de riesgo incluyen entradas inusuales en logs de acceso, especialmente aquellas que intentan manipular el parámetro 'orderby'.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.0.5 del plugin Dokan Pro. No se han confirmado casos de explotación activa en versiones posteriores.