Fale Conosco

Falha no Dokan Pro expõe 15 mil sites WordPress

Por

Uma falha crítica foi descoberta no plugin Dokan Pro, popular em marketplaces WordPress com múltiplos vendedores. Até a versão 4.0.5, invasores com acesso de vendedor poderiam obter acesso administrativo pleno no site, graças à ausência de validações adequadas no sistema de redefinição de senha de contas “staff”
Essa vulnerabilidade foi identificada como CVE-2025-5931, com pontuação CVSS 8.8 (alta severidade), e afetava mais de 15 000 sites que ainda utilizavam versões vulneráveis do plugin

Representação de um cibercriminoso atuando de forma anónima através de ataques digitais.

Como a vulnerabilidade funciona

O problema está no fluxo de redefinição de senha para contas internas (staff). O plugin permitia que usuários com privilégio de vendor acionassem esse processo sem comprovar identidade ou permissão adequadas. Depois dessa escalada, o invasor poderia alterar a senha de administradores, assumindo o controle completo do site, sem exigir acesso inicial de administrador

Essa facilidade de escalar privilégios representa um risco crítico, especialmente em configurações padrões de marketplace que permitem novos vendors com pouca validação prévia.

Prazos e correções aplicadas

O desenvolvimento e divulgação rápida dessa falha fortaleceram a resposta à ameaça:

  • O problema foi reportado ao desenvolvedor (weDevs) e solucionado na versão 4.0.6 do plugin

O alerta público ocorreu em 26 de agosto de 2025, com lançamento da correção logo após

Repercussão e impacto

  • Sites afetados: aqueles com Dokan Pro até a versão 4.0.5, especialmente marketplaces com vendors não totalmente controlados
  • Risco real: invasores poderiam criar contas administrativas, alterar configurações sensíveis, injetar scripts maliciosos, ou exfiltrar dados.
  • Gravidade: CVSS 8.8 e ocorrência em plataformas amplamente utilizadas tornam essa falha digna de atenção imediata.

Recomendações práticas — o que fazer agora

A imagem simboliza proteção e confiança através da cibersegurança e do uso de boas práticas online.
  1. Atualize imediatamente para Dokan Pro v. 4.0.6 ou superior.
  2. Assuma possível comprometimento se a versão vulnerável foi usada até o momento da correção.
  3. Faça redefinição de senhas de administradores e revogue sessões ativas.
  4. Audite usuários com privilégio, removendo acessos suspeitos.
  5. Utilize WAF ou regras virtuais para bloquear tentativas de escalonamento via parâmetros de REST ou AJAX.
  6. Monitore logs para identificar alterações de roles ou criação de contas administrativas incomuns.

Conclusão

Essa falha no plugin Dokan Pro reforça dois princípios essenciais de segurança em WordPress corporativo:

  • A aplicação rigorosa de controle de acesso e validações para todas as funções sensíveis, especialmente em sistemas complexos como marketplaces.
  • A importância de resposta rápida, com correções e auditorias imediatas, para conter falhas antes que sejam exploradas em massa.

Se você utiliza Dokan Pro em seu site, não postergue: atualize agora, audite acessos e fortaleça seus mecanismos de defesa.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *