Plugin Dokan Pro w wersjach do 5.0.4 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnione privilege escalation. Atakujący bez żadnych uprawnień może podnieść swoje uprawnienia w systemie, co stanowi poważne zagrożenie dla instalacji WordPress korzystających z tego pluginu.
▸ Pokaż oryginał (EN)
Unauthenticated Privilege Escalation in Dokan Pro <= 5.0.4 versions.
Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w pluginie Dokan Pro. Atakujący nieposiadający żadnego konta ani sesji może wykorzystać tę lukę do uzyskania wyższych uprawnień niż te, które powinny mu przysługiwać. Brak wymagania uwierzytelnienia (PR:N, UI:N) sprawia, że exploit może być przeprowadzony zdalnie przez sieć bez jakiejkolwiek interakcji ze strony użytkownika.
Atakujący może uzyskać podwyższone uprawnienia w obrębie aplikacji WordPress, co może prowadzić do pełnego przejęcia kontroli nad witryną, w tym do odczytu, modyfikacji i usuwania danych (C:H, I:H, A:H).
Należy niezwłocznie zaktualizować plugin Dokan Pro do wersji wyższej niż 5.0.4. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta oraz w bazie Patchstack.
Plugin Dokan Pro dla WordPress w wersjach 5.0.4 i wcześniejszych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H