Plataforma
wordpress
Componente
doccure-core
Corregido en
1.5.4
CVE-2025-8900 representa una vulnerabilidad de escalada de privilegios dentro del plugin Doccure Core para WordPress. Esta falla permite a usuarios no autenticados, durante el proceso de registro de cuentas, asignar roles administrativos, otorgándoles acceso no autorizado. Las versiones afectadas son aquellas anteriores a la 1.5.4. Se ha lanzado una actualización a la versión 1.5.4 para solucionar este problema.
La explotación exitosa de esta vulnerabilidad permite a un atacante no autenticado crear una cuenta con el rol de administrador en el sitio WordPress. Esto otorga al atacante control total sobre el sitio, incluyendo la capacidad de modificar contenido, instalar plugins, eliminar usuarios, y acceder a datos confidenciales. El impacto es significativo, ya que un atacante puede comprometer completamente la integridad y confidencialidad del sitio web. La falta de autenticación necesaria para asignar roles administrativos facilita la explotación, convirtiéndola en un riesgo considerable para sitios que utilizan el plugin Doccure Core.
Esta vulnerabilidad ha sido publicada el 2025-11-03. No se han reportado campañas de explotación activas a la fecha, pero la facilidad de explotación sugiere un riesgo potencial. Se recomienda monitorear los sistemas para detectar actividad sospechosa relacionada con la creación de cuentas con roles administrativos no autorizados. No se ha añadido a KEV a la fecha.
Websites utilizing the Doccure Core plugin, particularly those running versions 1.0.0 through 1.5.4, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r 'user_type' /var/www/html/doccure-core/• wordpress / composer / npm:
wp plugin list | grep doccure-core• wordpress / composer / npm:
wp plugin update doccure-core• generic web: Check user registration forms for the ability to specify a user role during account creation.
disclosure
Estado del Exploit
EPSS
0.19% (40% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar el plugin Doccure Core a la versión 1.5.4 o superior. Si la actualización causa problemas de compatibilidad, considere realizar una copia de seguridad completa del sitio antes de proceder. Como medida temporal, se puede implementar una regla en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten modificar el campo 'user_type' durante el registro de usuarios. Verifique después de la actualización que el proceso de registro de usuarios no permita la asignación de roles administrativos sin la debida autenticación.
Actualice el plugin Doccure Core a la versión 1.5.4 o superior para mitigar la vulnerabilidad de escalada de privilegios. Esta actualización corrige la forma en que se gestionan los roles de usuario durante el registro, evitando que los atacantes obtengan privilegios de administrador.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-8900 is a critical vulnerability in Doccure Core WordPress plugin allowing unauthenticated attackers to gain administrator privileges by manipulating user registration.
You are affected if you are using Doccure Core versions 1.0.0 through 1.5.4. Upgrade to version 1.5.4 to mitigate the risk.
Upgrade the Doccure Core plugin to version 1.5.4 or later. Temporarily disable user registration if immediate upgrade is not possible.
While no public exploits have been released, the vulnerability's simplicity suggests a potential for active exploitation. Monitor security advisories.
Refer to the Doccure Core plugin's official website or WordPress plugin repository for the latest advisory and update information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.