WBase de données des vulnérabilités WordPress

Hong Kong Security NGO WordPress Import XSS (CVE20258490)

Plugin de migration et de sauvegarde All-in-One WP Migration
0
Partages
0
0
0
0






All-in-One WP Migration <= 7.97 — Authenticated Administrator Stored XSS (CVE-2025-8490)


Nom du plugin Migration WP Tout-en-Un
Type de vulnérabilité XSS stocké authentifié
Numéro CVE CVE-2025-8490
Urgence Faible
Date de publication CVE 2025-08-26
URL source CVE-2025-8490

Migration WP Tout-en-Un <= 7.97 — Authenticated Administrator Stored XSS (CVE-2025-8490)

Publié : 26 août 2025
Auteur : Expert en sécurité de Hong Kong

Résumé

  • Quoi : XSS stocké authentifié (administrateur) dans All-in-One WP Migration (≤ 7.97). Suivi sous le nom de CVE-2025-8490.
  • Qui cela affecte : Sites WordPress exécutant All-in-One WP Migration version 7.97 ou antérieure qui permettent aux administrateurs d'importer des archives .wpress.
  • Impact : Un administrateur malveillant (ou quelqu'un ayant obtenu des privilèges d'administrateur) peut créer une archive d'importation qui stocke du JavaScript malveillant dans la base de données. Ce payload peut ensuite s'exécuter dans d'autres contextes d'administrateur ou d'utilisateur public, permettant le vol de session, l'escalade de privilèges via le chaînage CSRF, la manipulation de l'interface utilisateur administrateur, les redirections persistantes, l'injection de contenu et d'autres résultats XSS stockés.
  • Corrigé dans : 7.98 — mettez à jour vers 7.98 ou une version ultérieure dès que possible.

Cet avis est rédigé d'un point de vue pratique d'expert en sécurité de Hong Kong : décrivez clairement le risque, la détection et les étapes de remédiation sans marketing de fournisseur. Suivez la liste de contrôle ci-dessous si vous gérez des sites affectés.

Pourquoi cela importe (langage simple)

Le XSS stocké est une vulnérabilité dangereuse côté client : du code malveillant est injecté et persiste sur votre site (dans la base de données ou les fichiers stockés). Tout visiteur ou administrateur qui consulte ultérieurement la page affectée exécutera ce script dans son navigateur. Comme All-in-One WP Migration importe le contenu complet du site, il peut être abusé pour importer du HTML/JS qui se retrouve dans des publications, des widgets, des options ou d'autres stockages persistants — et si ces données ne sont pas validées et échappées à la sortie, le script s'exécute.

Bien que ce problème nécessite un accès de niveau administrateur pour effectuer l'importation, cela ne rend pas le risque négligeable. Les comptes administrateurs peuvent être obtenus par réutilisation de mots de passe, phishing, partage de mots de passe (agences, sous-traitants), intégrations tierces compromises ou vulnérabilités en chaîne. Sécurisez la fonctionnalité d'importation dans le cadre de l'hygiène de base de WordPress.

Contexte technique — comment la vulnérabilité fonctionne

All-in-One WP Migration crée et restaure des archives de site (.wpress) qui contiennent des représentations sérialisées de lignes de base de données, de fichiers, d'options et d'autres actifs. Lors de l'importation, le plugin lit l'archive et écrit des données dans les couches de persistance de WordPress (publications, termes, options, widgets, etc.). Le problème qui a conduit à CVE-2025-8490 est une désinfection insuffisante et/ou un traitement incorrect des données importées : certains champs qui sont ensuite rendus dans les vues administratives ou frontales n'ont pas été échappés ou filtrés correctement avant d'être enregistrés et affichés.

Flux d'exploitation typique :

  1. An attacker with Administrator privileges crafts a malicious export archive. The archive contains a post, widget, or option that includes JavaScript or event handlers (for example