CVE-2026-3504 in Dokan: AI Powered WooCommerce Multivendor Marketplace Solution Plugin
요약
\~에 의해 VulDB • 2026. 06. 02.
WordPress용 Dokan: AI 기반 WooCommerce 다중 판매자 마켓플레이스 솔루션 플러그인은 '/dokan/v1/stores/{id}/reviews' REST API 엔드포인트를 통해 민감한 정보 노출 취약점이 있으며, 이는 4.3.1 버전까지 모든 버전에서 발생합니다. 이는 'prepare_reviews_for_response' 메서드가 API 응답에 리뷰어의 이메일 주소, 사용자 이름 및 사용자 ID를 포함하기 때문입니다. 이로 인해 인증되지 않은 공격자가 모든 판매자의 스토리에 리뷰를 남긴 모든 고객의 이메일 주소, 사용자 이름 및 사용자 ID를 추출할 수 있습니다. 이 취약점을 악용하려면 플러그인의 Pro 버전이 설치 및 활성화되어 있고 스토리 리뷰 기능이 활성화되어 있어야 합니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.