Wवर्डप्रेस भेद्यता डेटाबेस

हांगकांग सुरक्षा एनजीओ WordPress आयात XSS(CVE20258490)

वर्डप्रेस ऑल-इन-वन WP माइग्रेशन और बैकअप प्लगइन
0
शेयर
0
0
0
0






All-in-One WP Migration <= 7.97 — Authenticated Administrator Stored XSS (CVE-2025-8490)


प्लगइन का नाम ऑल-इन-वन WP माइग्रेशन
कमजोरियों का प्रकार प्रमाणित संग्रहीत XSS
CVE संख्या CVE-2025-8490
तात्कालिकता कम
CVE प्रकाशन तिथि 2025-08-26
स्रोत URL CVE-2025-8490

ऑल-इन-वन WP माइग्रेशन <= 7.97 — प्रमाणित प्रशासक संग्रहीत XSS (CVE-2025-8490)

प्रकाशित: 26 अगस्त 2025
लेखक: हांगकांग सुरक्षा विशेषज्ञ

सारांश

  • क्या: ऑल-इन-वन WP माइग्रेशन (≤ 7.97) में प्रमाणित (प्रशासक) संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)। CVE-2025-8490 के रूप में ट्रैक किया गया।.
  • यह किसे प्रभावित करता है: वर्डप्रेस साइटें जो ऑल-इन-वन WP माइग्रेशन संस्करण 7.97 या पुराने चला रही हैं और जो प्रशासकों को .wpress आर्काइव आयात करने की अनुमति देती हैं।.
  • प्रभाव: एक दुर्भावनापूर्ण प्रशासक (या कोई जिसने प्रशासक विशेषाधिकार प्राप्त कर लिए हैं) एक आयात आर्काइव तैयार कर सकता है जो डेटाबेस में दुर्भावनापूर्ण जावास्क्रिप्ट संग्रहीत करता है। वह पेलोड बाद में अन्य प्रशासक या सार्वजनिक उपयोगकर्ता संदर्भों में निष्पादित हो सकता है, जिससे सत्र चोरी, CSRF चेन के माध्यम से विशेषाधिकार वृद्धि, प्रशासक UI हेरफेर, स्थायी रीडायरेक्ट, सामग्री इंजेक्शन, और अन्य संग्रहीत XSS परिणामों की अनुमति मिलती है।.
  • में ठीक किया गया: 7.98 — जल्द से जल्द 7.98 या बाद के संस्करण में अपडेट करें।.

यह सलाह एक व्यावहारिक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखी गई है: जोखिम, पहचान, और सुधारात्मक कदमों का स्पष्ट वर्णन करें बिना विक्रेता विपणन के। यदि आप प्रभावित साइटों का संचालन करते हैं तो नीचे दिए गए चेकलिस्ट का पालन करें।.

यह क्यों महत्वपूर्ण है (साधारण भाषा)

संग्रहीत XSS एक खतरनाक क्लाइंट-साइड भेद्यता है: दुर्भावनापूर्ण कोड इंजेक्ट किया जाता है और आपकी साइट पर बना रहता है (डेटाबेस या संग्रहीत फ़ाइलों में)। कोई भी आगंतुक या प्रशासक जो बाद में प्रभावित पृष्ठ को देखता है, अपने ब्राउज़र में उस स्क्रिप्ट को निष्पादित करेगा। चूंकि ऑल-इन-वन WP माइग्रेशन पूर्ण साइट सामग्री आयात करता है, इसका दुरुपयोग HTML/JS आयात करने के लिए किया जा सकता है जो पोस्ट, विजेट, विकल्प या अन्य स्थायी संग्रह में समाप्त होता है — और यदि उस डेटा को आउटपुट पर मान्य और एस्केप नहीं किया गया है, तो स्क्रिप्ट चलती है।.

हालांकि इस मुद्दे के लिए आयात करने के लिए प्रशासक-स्तरीय पहुंच की आवश्यकता होती है, यह जोखिम को नगण्य नहीं बनाता। प्रशासक खाते क्रेडेंशियल पुन: उपयोग, फ़िशिंग, साझा क्रेडेंशियल (एजेंसियां, ठेकेदार), समझौता किए गए तृतीय-पक्ष एकीकरण, या चेन किए गए भेद्यताओं के माध्यम से प्राप्त किए जा सकते हैं। बुनियादी वर्डप्रेस स्वच्छता के हिस्से के रूप में सुरक्षित आयात कार्यक्षमता।.

तकनीकी पृष्ठभूमि — भेद्यता कैसे काम करती है

ऑल-इन-वन WP माइग्रेशन साइट आर्काइव (.wpress) बनाता और पुनर्स्थापित करता है जो डेटाबेस पंक्तियों, फ़ाइलों, विकल्पों और अन्य संपत्तियों के अनुक्रमित प्रतिनिधित्व को शामिल करता है। आयात के दौरान, प्लगइन आर्काइव को पढ़ता है और डेटा को वर्डप्रेस स्थायी परतों (पोस्ट, शर्तें, विकल्प, विजेट, आदि) में वापस लिखता है। CVE-2025-8490 का कारण बनने वाला मुद्दा अपर्याप्त स्वच्छता और/या आयातित डेटा का गलत प्रबंधन है: कुछ फ़ील्ड जो बाद में प्रशासक या फ्रंट-एंड दृश्य में प्रदर्शित होते हैं, उन्हें सही तरीके से एस्केप या फ़िल्टर नहीं किया गया था।.

सामान्य शोषण प्रवाह:

  1. एक हमलावर जिसके पास प्रशासक विशेषाधिकार हैं, एक दुर्भावनापूर्ण निर्यात संग्रह तैयार करता है। संग्रह में एक पोस्ट, विजेट, या विकल्प होता है जिसमें JavaScript या इवेंट हैंडलर शामिल होते हैं (उदाहरण के लिए