CVE-2025-12809: CWE-862 wedevs Dokan Pro 中的授权缺失

严重性：中 类型：漏洞 CVE： CVE-2025-12809

WordPress的Dokan Pro插件在4.1.3及之前的所有版本中，由于对REST API端点 /dokan/v1/wholesale/register 缺少能力检查，容易导致数据被未经授权访问。这使得未经验证的攻击者可以通过提供用户ID，经由REST API枚举用户并检索其电子邮件地址，以及其他信息，如用户名、显示名称、用户角色和注册日期。

技术总结

CVE-2025-12809是一个被归类为CWE-862（授权缺失）的漏洞，存在于WordPress的流行多供应商市场解决方案Dokan Pro插件中。问题源于REST API端点 /dokan/v1/wholesale/register（本意用于批发注册流程）缺少能力检查。由于这一授权缺失，未经验证的攻击者可以使用用户ID参数查询此端点，以检索敏感用户信息，如电子邮件地址、用户名、显示名称、用户角色和注册日期。这种暴露违反了最小权限原则，允许在无需任何身份验证或用户交互的情况下进行数据枚举。该漏洞影响Dokan Pro所有直至4.1.3的版本。CVSS v3.1基础评分为5.3，反映了中等严重级别，向量表明网络攻击向量、攻击复杂度低、无需权限、无需用户交互，且影响仅限于机密性。尽管不存在完整性或可用性影响，但个人可识别信息（PII）的泄露可能助长定向网络钓鱼活动、身份盗窃或进一步利用。截至发布日期，尚无相关补丁或官方修复，也未在野外观察到已知的利用。该漏洞于2025年12月16日公开披露，初始保留日期为2025年11月6日。

潜在影响

对于欧洲组织，此漏洞通过未经授权暴露用户PII（如电子邮件地址和用户角色）构成了重大的隐私风险。这可能导致针对员工、客户或合作伙伴的网络钓鱼攻击、社会工程和潜在身份盗窃事件增加。受GDPR和其他严格数据保护法约束的组织因未经授权的数据暴露而面临合规风险，可能导致监管罚款和声誉损害。由于Dokan Pro广泛用于电子商务平台，特别是运营多供应商市场的平台，其影响延伸到业务连续性和客户信任。尽管该漏洞不允许修改或删除数据，但仅机密性破坏就可能对组织的安全态势和客户关系产生连锁效应。易于利用（无需身份验证或用户交互）增加了恶意行为者自动扫描和数据收集的可能性。

缓解建议

欧洲组织应立即审计其WordPress环境，以识别安装的Dokan Pro插件版本（直至4.1.3）。在官方补丁发布之前，实际的缓解措施包括通过Web应用防火墙（WAF）或自定义规则限制对易受攻击的REST API端点的访问，这些规则可阻止对 /dokan/v1/wholesale/register 的未经验证请求。实施IP白名单或API访问的身份验证要求可以减少暴露。监控Web服务器日志中对此端点的不寻常或重复访问尝试有助于检测利用企图。组织还应审查用户数据访问策略，并限制通过API暴露的敏感信息量。一旦有补丁可用，及时应用更新至关重要。此外，组织应教育用户和管理员有关泄露电子邮件地址带来的网络钓鱼风险，并强制执行多因素认证（MFA）以减轻后续攻击。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE数据库 V5 发布日期： 2025年12月16日，星期二

技术详情

数据版本： 5.2 分配者简称： Wordfence 保留日期： 2025-11-06T16:12:03.255Z Cvss 版本： 3.1 状态： 已发布 威胁ID： 6940f308a4f72ecfca032936 添加到数据库： 2025年12月16日，上午5:50:00 最后丰富： 2025年12月16日，上午6:05:19 最后更新： 2025年12月16日，上午9:21:35 浏览量： 9