CRITICAL✓ PATCH🇬🇧 English

CVE-2026-56033

Privilege Escalation bez uwierzytelnienia w pluginie Dokan Pro dla WordPress

CVSS 9.8v3.1pub. 2026-06-26

Plugin Dokan Pro w wersjach do 5.0.4 włącznie zawiera krytyczną podatność umożliwiającą nieuwierzytelnione privilege escalation. Atakujący bez żadnych uprawnień może podnieść swoje uprawnienia w systemie, co stanowi poważne zagrożenie dla instalacji WordPress korzystających z tego pluginu.

Pokaż oryginał (EN)

Unauthenticated Privilege Escalation in Dokan Pro <= 5.0.4 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-266 (Incorrect Privilege Assignment) polega na nieprawidłowym przypisywaniu uprawnień w pluginie Dokan Pro. Atakujący nieposiadający żadnego konta ani sesji może wykorzystać tę lukę do uzyskania wyższych uprawnień niż te, które powinny mu przysługiwać. Brak wymagania uwierzytelnienia (PR:N, UI:N) sprawia, że exploit może być przeprowadzony zdalnie przez sieć bez jakiejkolwiek interakcji ze strony użytkownika.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w obrębie aplikacji WordPress, co może prowadzić do pełnego przejęcia kontroli nad witryną, w tym do odczytu, modyfikacji i usuwania danych (C:H, I:H, A:H).

Mitygacja

Należy niezwłocznie zaktualizować plugin Dokan Pro do wersji wyższej niż 5.0.4. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Plugin Dokan Pro dla WordPress w wersjach 5.0.4 i wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
LPE
CWE
Referencje