الثغرات ›

CVE-2026-3504

متوسط

CWE-200 — نوع الضعف

                    نُشر: May 2, 2026                      ·  آخر تحديث: May 5, 2026                      ·  المصدر: NVD                

CVSS v3

5.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

The Dokan: AI Powered WooCommerce Multivendor Marketplace Solution plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 4.3.1 via the '/dokan/v1/stores/{id}/reviews' REST API endpoint. This is due to the 'prepare_reviews_for_response' method including reviewer email addresses, usernames, and user IDs in the API response. This makes it possible for unauthenticated attackers to extract email addresses, usernames, and user IDs of all customers who left reviews on any vendor's store. The Pro version of the plugin must be installed and activated, with store reviews enabled, in order to exploit the vulnerability.

🤖 ملخص AI

The Dokan WooCommerce Multivendor Marketplace plugin exposes sensitive customer information including email addresses, usernames, and user IDs through an unauthenticated REST API endpoint. Attackers can extract reviewer data from any vendor store without authentication when the Pro version has store reviews enabled.

📄 الوصف (العربية)

يسمح الثغرة الأمنية في مكون Dokan Pro بالوصول غير المصرح به إلى بيانات المراجعين الحساسة عبر نقطة نهاية REST API العامة. تؤثر الثغرة على جميع الإصدارات حتى 4.3.1 وتتطلب تفعيل ميزة مراجعات المتجر للاستغلال. يمكن للمهاجمين جمع عناوين بريد إلكترونية وأسماء مستخدمين ومعرفات لجميع العملاء الذين تركوا تقييمات.

🤖 ملخص تنفيذي (AI)

يكشف مكون Dokan WooCommerce Multivendor Marketplace عن معلومات العملاء الحساسة بما في ذلك عناوين البريد الإلكتروني وأسماء المستخدمين ومعرفات المستخدمين من خلال نقطة نهاية REST API غير المصرح بها. يمكن للمهاجمين استخراج بيانات المراجعين من أي متجر بائع دون مصادقة عند تفعيل مراجعات المتجر.

🤖 التحليل الذكي آخر تحليل: May 29, 2026 09:44

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1526 T1589 T1598

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Update the Dokan plugin to version 4.3.2 or later immediately. If immediate patching is not possible, disable the store reviews feature or restrict REST API access to authenticated users only. Implement Web Application Firewall rules to block unauthorized access to the /dokan/v1/stores/{id}/reviews endpoint.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكون Dokan إلى الإصدار 4.3.2 أو أحدث فوراً. إذا لم يكن التصحيح الفوري ممكناً، قم بتعطيل ميزة مراجعات المتجر أو قصر وصول REST API على المستخدمين المصرح لهم فقط. قم بتطبيق قواعد جدار حماية تطبيقات الويب لحظر الوصول غير المصرح به إلى نقطة النهاية /dokan/v1/stores/{id}/reviews.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

CC-6.1 CC-7.2

🟡 ISO 27001:2022

A.5.1.1 A.13.1.1

🔗 المراجع والمصادر 5

🔗

https://plugins.trac.wordpress.org/browser/dokan-lite/trunk/includes/REST/StoreControll...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/dokan-lite/trunk/includes/REST/StoreControll...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/browser/dokan-lite/trunk/includes/REST/StoreControll...

security@wordfence.com

🔗

https://plugins.trac.wordpress.org/changeset/3481799/

security@wordfence.com

🔗

https://www.wordfence.com/threat-intel/vulnerabilities/id/02b0d7d7-8a10-48de-b1e1-7e1f1...

security@wordfence.com

📊 CVSS Score

5.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.3

CWECWE-200

EPSS0.04%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-02

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-200

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-3504

عرّفنا بنفسك

تسجيل الدخول مطلوب