CVE-2026-11783
ŚrednieCVSS 6.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Wtyczka Dokan dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole SKU produktu. Podatność występuje we wszystkich wersjach do 5.0.4 włącznie z powodu niewystarczającej sanitacji danych wejściowych i braku kodowania wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie custom i wyższym wstrzyknięcie dowolnych skryptów, które wykonają się podczas przeglądania strony przez innych użytkowników.
Ocena ryzyka
Ryzyko polega na tym, że złośliwy ładunek jest dostarczany do odwiedzających stronę, w tym niezalogowanych użytkowników, gdy widżet wyszukiwania sklepu wstawia niezakodowany HTML odpowiedzi AJAX do DOM. Może to prowadzić do kradzieży sesji, przekierowań do złośliwych stron lub kradzieży danych wrażliwych.
Rekomendacja
Zaleca się natychmiastową aktualizację wtyczki Dokan do najnowszej dostępnej wersji, która zawiera poprawkę zabezpieczającą. Należy również ograniczyć uprawnienia użytkowników z dostępem custom i regularnie audytować role oraz możliwości wtyczki.
Oryginalny opis (angielski, źródło NVD)
The Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy plugin for WordPress is vulnerable to Stored Cross-Site Scripting via Product SKU in all versions up to, and including, 5.0.4 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with custom-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page. The malicious payload is delivered to site visitors — including unauthenticated users — when the store search widget inserts the unescaped AJAX response HTML into the DOM via jQuery's .html() method.

