CRITICALCVE-2025-0177CVSS 9.8

Javo Core <= 3.0.0.080 - ajax_signupにおける認証されていない権限昇格

Q: CVE-2025-0177 — 特権昇格 in Javo Coreとは何ですか？

CVE-2025-0177は、WordPressのJavo Coreプラグインのバージョン0–3.0.0.080において、新規アカウント登録時にユーザーが自身のロールを設定できる機能の脆弱性です。これにより、攻撃者が管理者権限を取得する可能性があります。

Q: CVE-2025-0177 in Javo Coreに影響を受けますか？

Javo Coreプラグインのバージョン0–3.0.0.080を使用しているWordPressサイトは、この脆弱性に影響を受けます。最新バージョンへのアップデートを推奨します。

Q: CVE-2025-0177 in Javo Coreを修正するにはどうすればよいですか？

Javo Coreプラグインのバージョンを3.0.0.081以降にアップデートすることで、この脆弱性は修正されます。

Q: CVE-2025-0177は積極的に悪用されていますか？

現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。

Q: CVE-2025-0177に関するJavo Coreの公式アドバイザリはどこで入手できますか？

Javo Coreの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

プラットフォーム

wordpress

コンポーネント

javo-core

修正版

3.0.1

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

Javo Coreプラグインは、WordPressサイトにおいて特権昇格の脆弱性が確認されています。この脆弱性は、新規アカウント登録時にユーザーが自身のロールを設定できる機能に起因し、認証されていない攻撃者が管理者権限を持つアカウントを作成することで、システムへの不正アクセスを可能にする可能性があります。影響を受けるバージョンは0–3.0.0.080です。最新バージョンへのアップデートを推奨します。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はWordPressサイトの管理者権限を不正に取得し、サイトのコンテンツを改ざんしたり、機密情報を窃取したり、悪意のあるコードを実行したりすることが可能になります。さらに、サイト全体を乗っ取り、他のユーザーへの攻撃拠点として利用するリスクも存在します。攻撃者は、新規アカウント登録時に管理者ロールを付与するアカウントを作成することで、容易に権限昇格を達成できる可能性があります。

悪用の状況

この脆弱性は、2025年3月8日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

WordPress websites using the Javo Core plugin, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm:

wp plugin list | grep javo-core

• wordpress / composer / npm:

wp plugin update javo-core --all

• wordpress / composer / npm:

wp plugin status javo-core

• wordpress / composer / npm:

wp user list --field=role

• wordpress / composer / npm:

wp user search --role=administrator

攻撃タイムライン

2025-03-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.73% (73% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントjavo-core

ベンダーjavothemes

影響範囲修正版

0 – 3.0.0.0803.0.1

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-01-02
公開日2025-03-08
更新日2026-04-08
EPSS 更新日2026-04-02

未パッチ — 公開から442日経過

緩和策と回避策

Javo Coreプラグインのバージョンを3.0.0.081以降にアップデートすることで、この脆弱性は修正されます。アップデートが困難な場合は、新規アカウント登録機能を一時的に無効化するか、ユーザーロールの設定を制限するプラグインを導入することを検討してください。また、WordPressのセキュリティプラグインを導入し、不正なアカウント作成を監視することも有効です。アップデート後、プラグインの動作確認を行い、問題がないことを確認してください。

修正方法

Javo Coreプラグインを修正されたバージョンにアップデートしてください。この脆弱性は、認証されていないユーザーが管理者ロールを割り当てられることを許可するため、権限昇格のリスクを軽減するためにアップデートを適用することが重要です。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-0177 — 特権昇格 in Javo Coreとは何ですか？

CVE-2025-0177は、WordPressのJavo Coreプラグインのバージョン0–3.0.0.080において、新規アカウント登録時にユーザーが自身のロールを設定できる機能の脆弱性です。これにより、攻撃者が管理者権限を取得する可能性があります。

CVE-2025-0177 in Javo Coreに影響を受けますか？

Javo Coreプラグインのバージョン0–3.0.0.080を使用しているWordPressサイトは、この脆弱性に影響を受けます。最新バージョンへのアップデートを推奨します。

CVE-2025-0177 in Javo Coreを修正するにはどうすればよいですか？

Javo Coreプラグインのバージョンを3.0.0.081以降にアップデートすることで、この脆弱性は修正されます。

CVE-2025-0177は積極的に悪用されていますか？

現時点では、公的なエクスプロイトコードは確認されていませんが、脆弱性の深刻度から、今後悪用される可能性は高いと考えられます。

CVE-2025-0177に関するJavo Coreの公式アドバイザリはどこで入手できますか？

Javo Coreの公式アドバイザリは、プラグインの公式サイトまたはWordPressのプラグインディレクトリで確認できます。

Javo Core <= 3.0.0.080 - ajax_signupにおける認証されていない権限昇格

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-0177 — 特権昇格 in Javo Coreとは何ですか？

CVE-2025-0177 in Javo Coreに影響を受けますか？

CVE-2025-0177 in Javo Coreを修正するにはどうすればよいですか？

CVE-2025-0177は積極的に悪用されていますか？

CVE-2025-0177に関するJavo Coreの公式アドバイザリはどこで入手できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認