Более 15 тысяч сайтов на платформе WordPress оказались под угрозой из-за критической уязвимости в плагине Dokan Pro, предназначенном для создания мультивендорных маркетплейсов. Уязвимость, получившая идентификатор CVE-2025-5931, позволяет злоумышленникам с правами продавца получать полный контроль над веб-сайтом, включая учетные записи администраторов. О проблеме сообщил исследователь под псевдонимом Foxyyy через программу вознаграждений Wordfence Bug Bounty Program, получив за это 966 долларов.
Детали уязвимости
Суть уязвимости заключается в неправильной проверке прав пользователя при смене пароля через функционал управления персоналом. Атакующий, имеющий аккаунт продавца, может изменить пароль любого пользователя, в том числе администратора, что приводит к полному захвату учетной записи и сайта. Рейтинг CVSS для данной уязвимости составляет 8.8 баллов из 10, что классифицирует её как высокоопасную.
Dokan Pro является популярным плагином для создания онлайн-магазинов с поддержкой множества продавцов. По умолчанию он позволяет зарегистрированным клиентам становиться продавцами, что увеличивает потенциальную аудиторию атаки. Как выяснилось, механизм управления сотрудниками магазина был реализован с недостаточными проверками безопасности.
Технический анализ показал, что функция handle_staff() в классе Dokan_Staffs не обеспечивала должной валидации данных. В частности, метаданные "_vendor_id", которые определяют принадлежность сотрудника к продавцу, могли быть произвольно изменены с аккаунта любого продавца. Это позволяло злоумышленнику назначить администратора в качестве продавца для подконтрольного сотрудника, а затем использовать функцию смены пароля для получения доступа к учётной записи администратора.
Разработчики Dokan Pro были уведомлены о проблеме 9 июня, а 12 июня зарегистрировались на портале управления уязвимостями Wordfence. После получения полной информации об уязвимости они выпустили исправление 6 августа в версии 4.0.6 плагина. Всем пользователям рекомендуется немедленно обновить Dokan Pro до последней версии, чтобы избежать возможных атак.
Хронология событий показывает скоординированные действия по ответному устранению угрозы: обнаружение уязвимости 5 июня, валидация 9 июня, выпуск патча 6 августа. Такой подход демонстрирует важность сотрудничества между исследователями безопасности, компаниями-разработчиками и поставщиками защитных решений.
Эксперты подчёркивают, что уязвимости, связанные с повышением привилегий, особенно опасны, так как позволяют злоумышленникам полностью контролировать целевой сайт. После получения прав администратора возможно внедрение вредоносного кода, кража данных, дефейс сайта или его использование для дальнейших атак. Владельцам сайтов с установленным Dokan Pro необходимо не только обновить плагин, но и проверить журналы активности на предмет подозрительных действий.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-5931
- https://www.wordfence.com/threat-intel/vulnerabilities/id/f3664a96-4ce7-4561-9b4b-dff91cd49384
