CVE-2026-10023: Sårbarhed i Dokan WooCommerce-plugin
Sårbarhed i Dokan WooCommerce-plugin lader sælgere manipulere andres ordrer, noter og downloadrettigheder.
Hvad er det?
Dokan er et populært WordPress-plugin, der gør det muligt at drive en online markedsplads med flere sælgere – ligesom en mini-Amazon eller mini-Etsy. En sårbarhed i versioner op til og med 5.0.3 betyder, at en sælger på platformen kan tilgå og ændre ordrer, som tilhører andre sælgere eller kunder, uden at have rettighed til det.
Teknisk set skyldes det en manglende kontrol af, om sælgeren faktisk ejer den ordre, de forsøger at handle på (kaldet Insecure Direct Object Reference). En angriber behøver kun at være logget ind som sælger og kan derefter genbruge en gyldig sikkerhedsnøgle (nonce) fra sin egen ordreside til at angribe andres ordrer.
Hvem rammer det?
Sårbarheden rammer dig, hvis du driver en WordPress-baseret markedsplads med Dokan-pluginet i version 5.0.3 eller ældre. Det gælder typisk:
- Virksomheder der har bygget en markedsplads med flere sælgere på WooCommerce
- Platformsejere, hvor tredjepartssælgere har egne sælgerprofiler og dashboard-adgang
- Slutkunder på markedspladsen, som risikerer at modtage falske forsendelsesoplysninger eller manipulerede ordrenotifikationer
Har du kun én sælger (dig selv) og ingen ekstern sælgeradgang, er risikoen væsentligt lavere – men opdateringen anbefales stadig.
Hvad kan ske?
En ondsindet sælger på din markedsplads kan udnytte sårbarheden til at:
- Ændre ordrestatusser på andres ordrer – fx markere en ordre som leveret, selv om den ikke er det
- Tilføje falske noter til andres ordrer – noter der er synlige for kunden og udløser automatiske e-mailnotifikationer fra WooCommerce
- Slette ordrenoter tilhørende andre sælgere eller administrator
- Indsætte falsk sporingsinformation på forsendelser fra andre sælgere
- Tildele eller fjerne adgang til downloadbare produkter på andres ordrer
Det kan skade tilliden til din platform, forvirre dine kunder og i værste fald misbruges til svindel mod købere.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS-score 4.3 (Moderat). Den kræver, at angriberen allerede er logget ind som sælger – udefrakommende uden konto kan ikke udnytte den direkte. Til gengæld er den teknisk set nem at udnytte, når man først har sælgeradgang, og den kræver ingen særlige tekniske færdigheder.
Konsekvensen rammer primært dataintegritet (oplysninger kan manipuleres) frem for fortrolighed eller nedbrud af systemet. På en aktiv markedsplads med konkurrerende sælgere er risikoen for misbrug dog reel – særligt hvis du tillader åben sælgerregistrering.
Hvad gør jeg nu?
Følg disse trin for at beskytte din markedsplads hurtigst muligt:
- Tjek din version: Log ind i WordPress-administrationen, gå til Plugins og find Dokan. Noter versionsnummeret.
- Opdatér Dokan: Hvis du kører version 5.0.3 eller ældre, skal du opdatere til den nyeste tilgængelige version via WordPress plugin-opdateringer. Tjek WeDevs’ officielle changelog for bekræftelse af rettelsen.
- Begræns sælgerregistrering midlertidigt: Hvis du ikke kan opdatere med det samme, så overvej at slå åben sælgerregistrering fra, så kun betroede sælgere har adgang.
- Gennemgå aktive sælgere: Tjek om der er sælgere på din platform, du ikke genkender eller ikke har godkendt manuelt.
- Hold øje med ordreaktivitet: Kig efter usædvanlige ændringer i ordrestatusser, noter eller forsendelsesoplysninger som tegn på misbrug.
- Informér din webmaster eller leverandør: Hvis en anden vedligeholder din hjemmeside, skal du sende dem denne information omgående.
Opdatér inden for 7 dage
Vi anbefaler, at du opdaterer Dokan-pluginet hurtigst muligt – senest inden for en uge. Sårbarheden kræver kun, at en angriber har sælgeradgang, og da mange markedspladser tillader åben sælgerregistrering, er tærsklen for angreb lav. Har du ikke mulighed for at opdatere med det samme, bør du som minimum deaktivere ny sælgerregistrering og gennemgå dine eksisterende sælgere. Kontakt os, hvis du har brug for hjælp til opdateringen eller vil have gennemgået din platforms sikkerhed.
Tidslinje
Konkrete eksempler
Falsk leveringsnotifikation til kunde
En konkurrerende sælger på din markedsplads registrerer en sælgerkonto og logger ind. Fra sit eget dashboard henter han en gyldig sikkerhedsnøgle (nonce) og bruger den til at tilføje en kundsynlig note til en konkurrents ordre – fx ‘Din pakke er desværre bortkommet, kontakt sælger’. WooCommerce sender automatisk en e-mail med noten til køberen, som bliver forvirret og kontakter din support, selvom ordren faktisk er på vej.
Manipulation af ordrestatus for svindel
En ondsindet sælger ændrer status på en anden sælgers ordrer fra ‘afventer betaling’ til ‘refunderet’ eller ‘annulleret’. Det kan føre til, at kunder tror, de får penge tilbage, eller at den legitime sælger mister overblikket over sine salg. I et scenarie med høj volumen kan det forstyrre regnskab og kundeservice betydeligt.
Fjernelse af downloadadgang fra betalende kunder
Hvis din markedsplads sælger digitale produkter (fx e-bøger, software eller kurser), kan en angriber tilbagekalde en kundes downloadadgang på en konkurrents ordre. Kunden mister adgangen til det produkt, vedkommende har betalt for, og retter henvendelse til sælgeren – som ikke umiddelbart kan forklare, hvad der er sket.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis jeg er den eneste sælger på min WooCommerce-side?
Hvis du er den eneste sælger og ingen andre har sælgeradgang til dit Dokan-dashboard, er risikoen for misbrug meget begrænset. Sårbarheden kræver nemlig, at en angriber allerede er logget ind som sælger. Vi anbefaler dog stadig at opdatere, da det er god praksis at holde plugins opdaterede.
Kan mine kunder se, at noget er galt?
Potentielt ja. En angriber kan tilføje synlige noter til kunders ordrer, som udløser automatiske e-mails fra WooCommerce. Kunder kan altså modtage forvirrende eller falske beskeder om deres ordre – fx at en ordre er annulleret eller sendt – uden at det er tilfældet. Det kan skade tilliden til din butik.
Hvad er en nonce, og hvorfor hjælper den ikke her?
En nonce (Number Used Once) er en midlertidig sikkerhedsnøgle, som normalt bruges til at bekræfte, at en handling kommer fra den rigtige bruger. Problemet her er, at nøglen kun bekræfter, at brugeren er logget ind – ikke at ordren tilhører den pågældende sælger. En sælger kan derfor hente en gyldig nøgle fra sin egen ordreside og bruge den til at angribe andre sælgeres ordrer.
Er der en officiel rettelse tilgængelig?
Pr. offentliggørelsesdato den 18. juni 2026 er sårbarheden bekræftet til og med version 5.0.3, og der er ikke offentliggjort en officiel patch. Hold øje med opdateringer fra WeDevs (udviklerne bag Dokan) og opdatér så snart en ny version er tilgængelig. Tjek jævnligt WordPress plugin-siden for Dokan.
Kan jeg se, om nogen allerede har udnyttet sårbarheden på min platform?
Du kan undersøge WooCommerce-ordreloggen for usædvanlige ændringer i ordrestatusser, uventede noter eller ændringer i downloadrettigheder – særligt hvis de stammer fra sælgere, der ikke burde have adgang til de pågældende ordrer. Kontakt en sikkerhedskonsulent, hvis du opdager mistænkelig aktivitet.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Dokan: AI Powered WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.0.3 via the change_order_status, add_order_note, delete_order_note, add_shipping_tracking_info, grant_access_to_download, and revoke_access_to_download AJAX handlers due to missing ownership validation on a user-controlled order ID key. This makes it possible for authenticated attackers, with custom vendor-level access and above, to modify the status of arbitrary orders, add attacker-controlled notes to any order (including customer-facing notes that trigger WooCommerce notification emails to buyers), delete any order note or WordPress comment by ID regardless of ownership, inject fake shipping tracking information on any order, and grant or revoke downloadable-product permissions on any order in the marketplace. Critically, nonce validity is not a barrier to exploitation: each of these AJAX handlers generates and embeds its nonce on the authenticated vendor’s own dashboard order pages (e.g., /dashboard/orders/?order_id=OWN_ORDER_ID), which the attacker legitimately controls. The attacker harvests a valid nonce from their own order detail page and replays it against a victim order ID — the nonce only proves the request originates from a logged-in session, not that the order belongs to that vendor. This directly rebuts the prior rejection reasoning that ‘users cannot generate valid nonces on command’: vendor users can and do generate valid nonces on demand simply by loading their own dashboard pages. Source-code analysis confirmed the vulnerable code path is present and unpatched through version 5.0.1.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
