| 插件名稱 | 全能 WP 遷移 |
|---|---|
| 漏洞類型 | 認證的儲存型 XSS |
| CVE 編號 | CVE-2025-8490 |
| 緊急程度 | 低 |
| CVE 發布日期 | 2025-08-26 |
| 來源 URL | CVE-2025-8490 |
全能 WP 遷移 <= 7.97 — 認證管理員儲存型 XSS (CVE-2025-8490)
摘要
- 什麼: 在全能 WP 遷移 (≤ 7.97) 中經過身份驗證的(管理員)存儲跨站腳本(XSS)。追蹤為 CVE-2025-8490。.
- 受影響對象: 運行全能 WP 遷移版本 7.97 或更早版本的 WordPress 網站,允許管理員匯入 .wpress 檔案。.
- 影響: 惡意管理員(或獲得管理員權限的人)可以製作一個匯入檔案,將惡意 JavaScript 存儲在數據庫中。該有效負載稍後可以在其他管理員或公共用戶上下文中執行,允許會話盜竊、通過 CSRF 鏈接的權限提升、管理 UI 操作、持久重定向、內容注入和其他存儲 XSS 結果。.
- 修復於: 7.98 — 儘快更新到 7.98 或更高版本。.
本建議書是從實用的香港安全專家的角度撰寫的:清楚描述風險、檢測和修復步驟,而不進行供應商營銷。如果您運營受影響的網站,請遵循以下檢查清單。.
為什麼這很重要(通俗語言)
存儲 XSS 是一種危險的客戶端漏洞:惡意代碼被注入並持久存在於您的網站上(在數據庫或存儲文件中)。任何稍後查看受影響頁面的訪問者或管理員都會在其瀏覽器中執行該腳本。由於全能 WP 遷移匯入完整的網站內容,因此可以被濫用來匯入最終出現在帖子、小部件、選項或其他持久存儲中的 HTML/JS — 如果該數據在輸出時未經過驗證和轉義,則腳本會運行。.
雖然此問題需要管理員級別的訪問權限來執行匯入,但這並不意味著風險可以忽略不計。管理員帳戶可以通過憑證重用、網絡釣魚、共享憑證(機構、承包商)、受損的第三方集成或鏈接漏洞獲得。將安全匯入功能作為基本 WordPress 衛生的一部分。.
技術背景 — 漏洞如何運作
全能 WP 遷移創建和恢復包含數據庫行、文件、選項和其他資產的序列化表示的網站檔案 (.wpress)。在匯入過程中,插件讀取檔案並將數據寫回 WordPress 持久層(帖子、術語、選項、小部件等)。導致 CVE-2025-8490 的問題是對匯入數據的清理不足和/或處理不當:某些字段在保存和顯示之前未正確轉義或過濾,這些字段稍後在管理或前端視圖中呈現。.
典型的利用流程:
