CVE-2025-8900 是 Doccure Core 插件中的权限提升漏洞。该漏洞允许未经身份验证的攻击者通过创建具有管理员角色的新账户来获得更高的权限。此漏洞影响 Doccure Core 1.0.0 到 1.5.4 版本(不含 1.5.4)。建议立即升级到 1.5.4 版本以解决此问题。
此漏洞的潜在影响非常严重。攻击者可以利用它完全控制受影响的 WordPress 网站,包括访问、修改和删除敏感数据。他们还可以安装恶意软件、更改网站配置,甚至将其用于发起其他攻击。由于 Doccure Core 插件通常用于医疗保健相关的 WordPress 网站,因此此漏洞可能导致患者数据的泄露或篡改,造成严重的法律和声誉风险。攻击者可以利用此漏洞绕过身份验证机制,直接获得管理员权限,从而完全控制网站。
该漏洞已公开披露,且 CVSS 评分为 CRITICAL,表明其具有极高的风险。目前尚无公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其被认为对美国关键基础设施构成重大风险。
Websites utilizing the Doccure Core plugin, particularly those running versions 1.0.0 through 1.5.4, are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable. Sites with weak password policies or those that haven't implemented multi-factor authentication are also at increased risk.
• wordpress / composer / npm:
grep -r 'user_type' /var/www/html/doccure-core/• wordpress / composer / npm:
wp plugin list | grep doccure-core• wordpress / composer / npm:
wp plugin update doccure-core• generic web: Check user registration forms for the ability to specify a user role during account creation.
disclosure
漏洞利用状态
EPSS
0.19% (40% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Doccure Core 插件升级到 1.5.4 或更高版本。如果无法立即升级,可以考虑暂时禁用 Doccure Core 插件,以防止攻击者利用此漏洞。此外,建议实施严格的用户角色管理策略,限制用户可以执行的操作。如果无法升级,请检查 WordPress 网站的日志文件,以查找任何可疑活动。使用 Web 应用防火墙 (WAF) 可以帮助检测和阻止恶意请求,但不能替代升级。
将 Doccure Core 插件更新到 1.5.4 或更高版本以缓解权限提升漏洞。此更新修复了用户注册期间角色管理的机制,防止攻击者获得管理员权限。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-8900 是 Doccure Core 插件中的一个权限提升漏洞,允许攻击者创建具有管理员权限的新账户。
如果您正在使用 Doccure Core 插件的 1.0.0 到 1.5.4 版本(不含 1.5.4),则您可能受到影响。
立即将 Doccure Core 插件升级到 1.5.4 或更高版本。
虽然目前没有公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Doccure Core 官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。