CRITICALCVE-2025-8900CVSS 9.8

Doccure Core < 1.5.4 - 認証されていない権限昇格

Q: CVE-2025-8900 — 特権昇格 in Doccure Coreとは何ですか？

CVE-2025-8900は、WordPressプラグインDoccure Coreのバージョン1.0.0～1.5.4で、新規アカウント登録時に管理者権限を不正に取得できる脆弱性です。

Q: CVE-2025-8900 in Doccure Coreの影響はありますか？

Doccure Coreプラグインのバージョン1.0.0から1.5.4を使用しているWordPressサイトは影響を受けます。攻撃者は、不正に管理者権限を取得し、サイトを改ざんしたり、機密情報を盗み出す可能性があります。

Q: CVE-2025-8900 in Doccure Coreを修正するにはどうすればよいですか？

Doccure Coreプラグインをバージョン1.5.4にアップデートすることで修正できます。アップデートできない場合は、一時的に新規アカウント登録フォームのロール設定機能を無効化してください。

Q: CVE-2025-8900は積極的に悪用されていますか？

現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されているため、攻撃者が悪用する可能性があります。

Q: CVE-2025-8900のDoccure Core公式アドバイザリはどこで確認できますか？

Doccure Coreの公式アドバイザリは、プラグインのウェブサイトまたはWordPressの公式セキュリティアドバイザリで確認できます。

プラットフォーム

wordpress

コンポーネント

doccure-core

修正版

1.5.4

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-8900は、WordPressプラグインDoccure Coreにおける特権昇格の脆弱性です。攻撃者は、新規アカウント登録時にロールを自由に設定できる機能を悪用し、管理者権限を不正に取得する可能性があります。この脆弱性は、Doccure Coreのバージョン1.0.0から1.5.4（含まない）に影響を与えます。バージョン1.5.4へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はDoccure Coreプラグインを通じてWordPressサイト全体への管理者権限を奪取できます。これにより、機密情報の窃取、ウェブサイトの改ざん、悪意のあるコードの実行など、広範囲にわたる被害が発生する可能性があります。攻撃者は、新規アカウント登録時に管理者ロールを割り当てることで、認証なしにシステムを制御できるようになります。この脆弱性は、WordPressサイトのセキュリティを著しく損なう重大なリスクとなります。

悪用の状況

この脆弱性は、公開されており、攻撃者が容易に悪用できる可能性があります。現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、迅速な対応が必要です。CISA KEVリストへの登録状況は不明です。公開PoCは確認されていません。

リスク対象者翻訳中…

Websites utilizing the Doccure Core plugin, particularly those running versions 1.0.0 through 1.5.4, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.

検出手順翻訳中…

• wordpress / composer / npm:

grep -r 'user_type' /var/www/html/doccure-core/

• wordpress / composer / npm:

wp plugin list | grep doccure-core

• wordpress / composer / npm:

wp plugin update doccure-core

• generic web: Check user registration forms for the ability to specify a user role during account creation.

攻撃タイムライン

2025-11-03Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.19% (40% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdoccure-core

ベンダーdreamstechnologies

影響範囲修正版

0 – 1.5.41.5.4

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2025-08-12
公開日2025-11-03
更新日2026-04-08
EPSS 更新日2026-03-23

緩和策と回避策

最も効果的な対策は、Doccure Coreプラグインをバージョン1.5.4にアップデートすることです。アップデートできない場合は、新規アカウント登録フォームのロール設定機能を一時的に無効化することを検討してください。また、WordPressのセキュリティプラグインを使用して、不正なアカウント作成を監視し、異常なアクティビティを検出することも有効です。WAF（Web Application Firewall）を導入し、不正なリクエストをブロックすることも有効な対策となります。

修正方法

脆弱性を軽減するために、Doccure Coreプラグインをバージョン1.5.4以降にアップデートしてください。このアップデートは、登録時のユーザーロールの処理方法を修正し、攻撃者が管理者権限を取得することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-8900 — 特権昇格 in Doccure Coreとは何ですか？

CVE-2025-8900は、WordPressプラグインDoccure Coreのバージョン1.0.0～1.5.4で、新規アカウント登録時に管理者権限を不正に取得できる脆弱性です。

CVE-2025-8900 in Doccure Coreの影響はありますか？

Doccure Coreプラグインのバージョン1.0.0から1.5.4を使用しているWordPressサイトは影響を受けます。攻撃者は、不正に管理者権限を取得し、サイトを改ざんしたり、機密情報を盗み出す可能性があります。

CVE-2025-8900 in Doccure Coreを修正するにはどうすればよいですか？

Doccure Coreプラグインをバージョン1.5.4にアップデートすることで修正できます。アップデートできない場合は、一時的に新規アカウント登録フォームのロール設定機能を無効化してください。

CVE-2025-8900は積極的に悪用されていますか？

現時点で、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、公開されているため、攻撃者が悪用する可能性があります。

CVE-2025-8900のDoccure Core公式アドバイザリはどこで確認できますか？

Doccure Coreの公式アドバイザリは、プラグインのウェブサイトまたはWordPressの公式セキュリティアドバイザリで確認できます。

Doccure Core < 1.5.4 - 認証されていない権限昇格

影響と攻撃シナリオ

悪用の状況

リスク対象者翻訳中…

検出手順翻訳中…

攻撃タイムライン

脅威インテリジェンス

影響を受けるソフトウェア

弱点分類 (CWE)

タイムライン

緩和策と回避策

修正方法

CVEセキュリティニュースレター

よくある質問

CVE-2025-8900 — 特権昇格 in Doccure Coreとは何ですか？

CVE-2025-8900 in Doccure Coreの影響はありますか？

CVE-2025-8900 in Doccure Coreを修正するにはどうすればよいですか？

CVE-2025-8900は積極的に悪用されていますか？

CVE-2025-8900のDoccure Core公式アドバイザリはどこで確認できますか？

あなたのプロジェクトは影響を受けていますか?

このCVEがあなたのプロジェクトに影響するか確認