Sicherheitslücke in Dokan Pro: Angreifer könnten Admin-Accounts übernehmen!

Die Sicherheitslücke CVE-2025-5931 in Dokan Pro, einem WordPress-Plugin zur Implementierung von Multi-Vendor-Onlineshops, stellte ein ernstes Risiko dar, da sie Angreifern ermöglicht hätte, Admin-Accounts zu übernehmen und Webseiten zu kompromittieren. Diese Schwachstelle hing mit dem Registrierungsmechanismus für Verkäufer auf dem Marktplatz zusammen. Ein Angreifer, der bereits auf dem betroffenen System authentifiziert war, konnte durch die Ausnutzung des fehlerhaften Codes diesen Prozess manipulieren und einen neuen Nutzer mit administrativen Rechten erschaffen. Durch die gezielte Manipulation des Registrierungsprozesses erlangte der Angreifer Kontrolle über ein Admin-Konto, wobei er anschließend ein eigenes Passwort festlegen und damit weitreichenden Zugriff auf die gesamte Webseite erhalten konnte. Dieser Angriff ermöglichte es ihm, beispielsweise Hintertüren in Onlineshops zu etablieren, die zukünftige Aktionen ermöglichen würden.

Die Entwickler von Dokan Pro reagierten prompt und korrigierten die Schwachstelle in Version 4.0.6 des Plugins. Alle vorhergehenden Versionen waren jedoch anfällig für diese Attacke. Ob es bereits zu tatsächlichen Angriffen kam, ist gegenwärtig unklar. Um potenzielle Risiken zu minimieren, mahnen Sicherheitsforscher dazu, WordPress-Websites mit Dokan Pro gründlich auf Nutzerkonten zu überprüfen. Sollten solche Accounts entdeckt werden, sollten sie umgehend gelöscht werden, um das Risiko einer Kompromittierung der Webseite zu reduzieren.

Dieses Ereignis unterstreicht die Wichtigkeit kontinuierlicher Sicherheitsüberprüfungen und Aktualisierungen von Plugins, insbesondere in dynamischen Umgebungen wie WordPress-Systemen, um Angreifern den Handlungsraum einzuschränken und die Integrität von Online-Plattformen zu gewährleisten.

Schlagwörter: Dokan Pro + CVE-2025-5931 + Plugins

Wie bewerten Sie den Schreibstil des Artikels?