WBase de Datos de Vulnerabilidades de WordPress

ONG de Seguridad de Hong Kong Importación de WordPress XSS(CVE20258490)

Plugin de migración y copia de seguridad All-in-One WP de WordPress
0
Compartidos
0
0
0
0






All-in-One WP Migration <= 7.97 — Authenticated Administrator Stored XSS (CVE-2025-8490)


Nombre del plugin Migración All-in-One WP
Tipo de vulnerabilidad XSS almacenado autenticado
Número CVE CVE-2025-8490
Urgencia Baja
Fecha de publicación de CVE 2025-08-26
URL de origen CVE-2025-8490

Migración All-in-One WP <= 7.97 — Authenticated Administrator Stored XSS (CVE-2025-8490)

Publicado: 26 de agosto de 2025
Autor: Experto en seguridad de Hong Kong

Resumen

  • Qué: XSS almacenado autenticado (administrador) en Migración All-in-One WP (≤ 7.97). Rastreado como CVE-2025-8490.
  • A quién afecta: Sitios de WordPress que ejecutan la versión 7.97 o anterior de Migración All-in-One WP que permiten a los administradores importar archivos .wpress.
  • Impacto: Un administrador malicioso (o alguien que ha obtenido privilegios de administrador) puede crear un archivo de importación que almacena JavaScript malicioso en la base de datos. Esa carga útil puede ejecutarse más tarde en otros contextos de usuario administrador o público, permitiendo el robo de sesiones, escalada de privilegios a través de encadenamiento CSRF, manipulación de la interfaz de usuario de administrador, redirecciones persistentes, inyección de contenido y otros resultados de XSS almacenados.
  • Corregido en: 7.98 — actualice a 7.98 o posterior lo antes posible.

Este aviso está escrito desde la perspectiva práctica de un experto en seguridad de Hong Kong: describa claramente el riesgo, la detección y los pasos de remediación sin marketing del proveedor. Siga la lista de verificación a continuación si opera sitios afectados.

Por qué esto es importante (lenguaje sencillo)

El XSS almacenado es una vulnerabilidad peligrosa del lado del cliente: se inyecta código malicioso y persiste en su sitio (en la base de datos o archivos almacenados). Cualquier visitante o administrador que vea más tarde la página afectada ejecutará ese script en su navegador. Dado que Migración All-in-One WP importa el contenido completo del sitio, puede ser abusado para importar HTML/JS que termina en publicaciones, widgets, opciones u otro almacenamiento persistente; y si esos datos no se validan y escapan en la salida, el script se ejecuta.

Aunque este problema requiere acceso a nivel de administrador para realizar la importación, eso no hace que el riesgo sea negligible. Las cuentas de administrador pueden obtenerse a través de reutilización de credenciales, phishing, credenciales compartidas (agencias, contratistas), integraciones de terceros comprometidas o vulnerabilidades encadenadas. Asegure la funcionalidad de importación como parte de la higiene básica de WordPress.

Antecedentes técnicos — cómo funciona la vulnerabilidad

Migración All-in-One WP crea y restaura archivos de sitio (.wpress) que contienen representaciones serializadas de filas de base de datos, archivos, opciones y otros activos. Durante la importación, el plugin lee el archivo y escribe datos de nuevo en las capas de persistencia de WordPress (publicaciones, términos, opciones, widgets, etc.). El problema que llevó a CVE-2025-8490 es la insuficiente sanitización y/o el manejo inadecuado de los datos importados: ciertos campos que se renderizan más tarde en vistas de administrador o del front-end no se escaparon ni filtraron correctamente antes de ser guardados y mostrados.

Flujo típico de explotación:

  1. An attacker with Administrator privileges crafts a malicious export archive. The archive contains a post, widget, or option that includes JavaScript or event handlers (for example