Faille Dokan Pro : Risque d’escalade de privilèges

Je suis Benjamin Bueno, expert en sécurité WordPress, et aujourd’hui, je souhaite vous alerter sur une faille de sécurité majeure récemment découverte dans le plugin Dokan Pro. Ce plugin, très populaire pour la création de marketplaces multivendeurs sur WordPress, a été victime d’une vulnérabilité critique qui pourrait avoir des conséquences désastreuses si elle n’est pas corrigée rapidement.

La faille Dokan Pro : une menace sérieuse pour les marketplaces

Dokan Pro est un outil incontournable pour de nombreux sites e-commerce français souhaitant permettre à plusieurs vendeurs de proposer leurs produits sur une même plateforme. Cependant, une faille d’escalade de privilèges a été identifiée dans les versions jusqu’à 4.0.5, permettant à un utilisateur malveillant, disposant d’un accès vendeur, de s’octroyer les droits d’administrateur. Cette vulnérabilité a été signalée par un chercheur en sécurité via le programme de bug bounty Wordfence, qui a permis une réaction rapide de l’éditeur.

Détails techniques et fonctionnement de la faille

La faille réside dans la gestion des utilisateurs et des permissions par le plugin. Plus précisément, le plugin ne vérifiait pas correctement l’identité de l’utilisateur lors de la réinitialisation du mot de passe d’un membre du staff. Un attaquant authentifié avec des droits de vendeur pouvait ainsi modifier le mot de passe de n’importe quel utilisateur, y compris celui d’un administrateur, et ainsi prendre le contrôle total du site.

Le code concerné, notamment la fonction handle_staff() de la classe Dokan_Staffs, permettait de manipuler la valeur _vendor_id et d’assigner arbitrairement un staff à n’importe quel vendeur, y compris l’administrateur. Une fois connecté en tant que staff, l’attaquant pouvait alors changer le mot de passe de l’administrateur via une simple mise à jour de profil, profitant d’une mauvaise gestion de la fonction dokan_get_current_user_id().

Chronologie de la découverte et de la correction

• 5 juin 2025 : Signalement de la faille à Wordfence.
• 9 juin 2025 : Validation et contact avec l’éditeur de Dokan.
• 10 juin 2025 : Règle de pare-feu déployée pour les clients Wordfence Premium, Care et Response.
• 12 juin 2025 : L’éditeur s’inscrit sur le portail de gestion des vulnérabilités Wordfence.
• 6 août 2025 : Publication de la version corrigée 4.0.6 du plugin.

Il est donc impératif de mettre à jour Dokan Pro vers la version 4.0.6 ou supérieure pour éliminer ce risque.

Risques concrets pour les administrateurs et vendeurs

Pour les administrateurs, cette faille signifie la perte totale de contrôle du site : un attaquant peut modifier les paramètres, installer des extensions malveillantes, voler des données clients ou injecter du contenu indésirable. Pour les vendeurs, cela peut se traduire par la modification ou la suppression de leurs produits, l’accès à leurs informations personnelles, voire la perte de revenus.

Conseils pratiques pour les sites e-commerce français

1. Mettez à jour immédiatement Dokan Pro : Vérifiez votre version et appliquez la mise à jour 4.0.6 sans attendre.
2. Surveillez les activités suspectes : Utilisez des outils de sécurité pour détecter toute tentative de connexion ou modification anormale.
3. Renforcez la sécurité globale : Activez l’authentification à deux facteurs, limitez les permissions des utilisateurs et utilisez des mots de passe robustes.
4. Sauvegardez régulièrement votre site : En cas de compromission, une sauvegarde récente vous permettra de restaurer rapidement votre activité.
5. Réalisez des audits de sécurité : Faites appel à des experts pour vérifier la solidité de votre installation et corriger les failles potentielles.

Nos services pour vous accompagner

En tant qu’experts en réparation d’urgence WordPress, nous proposons une analyse complète, le nettoyage des malwares, la suppression des backdoors et le renforcement de la sécurité. Notre service de maintenance inclut l’installation d’antivirus, les mises à jour régulières, les sauvegardes et une surveillance 24/7, avec option d’hébergement Premium en France. Pour optimiser votre visibilité en ligne, nous offrons des services d’optimisation SEO technique, de stratégie éditoriale et de création de contenus ciblés.

Conclusion

La faille de sécurité dans Dokan Pro rappelle l’importance de la vigilance et de la réactivité face aux menaces qui pèsent sur les sites WordPress. En tant qu’administrateur ou propriétaire de marketplace, il est essentiel de rester informé, de mettre à jour vos extensions et de vous entourer de professionnels pour garantir la sécurité et la performance de votre site.

N’hésitez pas à nous contacter pour toute question ou pour bénéficier de nos services de sécurité, de maintenance ou d’optimisation SEO. Ensemble, assurons la pérennité et la réussite de votre site e-commerce WordPress.

Benjamin Bueno, Expert en Sécurité WordPress chez SécuritéWP