CVE-2026-3504

Nome do Software Vulnerável e Versões Afetadas Dokan: AI Powered WooCommerce Multivendor Marketplace Solution versões anteriores a 4.3.2

Descrição Ocorre a exposição de informações sensíveis através do endpoint de API REST '/dokan/v1/stores/{id}/reviews'. O método prepare reviews for response() inclui endereços de e-mail, nomes de usuário e IDs de usuário dos revisores na resposta da API. Isso permite que invasores não autenticados extraiam endereços de e-mail, nomes de usuário e IDs de usuário de todos os clientes que deixaram avaliações na loja de qualquer vendedor. Este problema requer que a versão Pro do plugin esteja instalada e ativada, com as avaliações de loja habilitadas.

Recomendações Atualize para uma versão posterior a 4.3.1. Como medida paliativa temporária, desative as avaliações de loja ou restrinja o acesso ao endpoint '/dokan/v1/stores/{id}/reviews' para minimizar o risco de exploração.