| 插件名称 | 全能 WP 迁移 |
|---|---|
| 漏洞类型 | 认证存储型 XSS |
| CVE 编号 | CVE-2025-8490 |
| 紧急程度 | 低 |
| CVE 发布日期 | 2025-08-26 |
| 来源网址 | CVE-2025-8490 |
全能 WP 迁移 <= 7.97 — 认证管理员存储型XSS (CVE-2025-8490)
摘要
- 什么: 在全能 WP 迁移 (≤ 7.97) 中经过身份验证的(管理员)存储型跨站脚本(XSS)。跟踪为 CVE‑2025‑8490。.
- 影响对象: 运行全能 WP 迁移版本 7.97 或更早版本的 WordPress 网站,允许管理员导入 .wpress 存档。.
- 影响: 恶意管理员(或获得管理员权限的人)可以制作一个导入存档,在数据库中存储恶意 JavaScript。该有效载荷可以在其他管理员或公共用户上下文中执行,从而导致会话盗窃、通过 CSRF 链接的权限提升、管理员 UI 操作、持久重定向、内容注入和其他存储型 XSS 结果。.
- 修复于: 7.98 — 尽快更新到 7.98 或更高版本。.
本建议书从实际的香港安全专家角度撰写:清楚描述风险、检测和修复步骤,而不进行供应商营销。如果您运营受影响的网站,请遵循以下检查清单。.
为什么这很重要(通俗语言)
存储型 XSS 是一种危险的客户端漏洞:恶意代码被注入并在您的网站上持久存在(在数据库或存储文件中)。任何后续查看受影响页面的访客或管理员都会在其浏览器中执行该脚本。由于全能 WP 迁移导入完整的网站内容,因此可以被滥用以导入最终出现在帖子、小部件、选项或其他持久存储中的 HTML/JS — 如果该数据在输出时未经过验证和转义,则脚本会运行。.
尽管此问题需要管理员级别的访问权限才能执行导入,但这并不意味着风险可以忽略。管理员帐户可以通过凭据重用、网络钓鱼、共享凭据(机构、承包商)、被攻陷的第三方集成或链式漏洞获得。将安全导入功能作为基本 WordPress 卫生的一部分。.
技术背景 — 漏洞如何工作
全能 WP 迁移创建和恢复包含数据库行、文件、选项和其他资产的序列化表示的站点存档 (.wpress)。在导入过程中,插件读取存档并将数据写回 WordPress 持久层(帖子、术语、选项、小部件等)。导致 CVE‑2025‑8490 的问题是对导入数据的清理不足和/或处理不当:某些字段在保存和显示之前未正确转义或过滤,后来在管理员或前端视图中呈现。.
典型的利用流程:
