漏洞概述 本次安全更新涉及 WP All Import 和 WP All Export 插件的多个版本,修复了以下关键漏洞: WP All Import Pro 4.9.8 及 WP All Import Free 3.8.0: CVE-2024-8722: 已认证管理员(Administrator+)通过SVG文件上传导致的存储型跨站脚本攻击(Stored XSS)。 CVE-2024-9664: 已认证管理员(Administrator+)通过导入文件导致的PHP对象注入(PHP Object Injection)。 CVE-2024-9661: 跨站请求伪造(CSRF),可导致已导入的内容被删除。 WP All Export Pro 1.9.2: CVE-2024-7425: 已认证管理员(Shop Manager+)导致的远程代码执行(RCE)。 CVE-2024-7419: 通过自定义导出字段导致的未认证远程代码执行(Unauthenticated RCE)。 注:WP All Export 免费版不受上述漏洞影响。 影响范围 CVE-2024-7425: 拥有管理WooCommerce产品权限的用户(如Shop Manager)若在产品字段中输入恶意代码,并通过Google Merchant Center导出处理,可能导致权限提升和站点接管。 CVE-2024-7419: 如果站点在自定义字段(如WooCommerce订单地址字段)中存储了恶意数据,且导出配置包含该字段,当导出运行时若数据被正确构造,可能导致站点接管。 CVE-2024-9661: 发送到正确端点的请求可能导致之前导入的数据被删除,或导入历史记录被删除。 CVE-2024-9664: 需要已登录的管理员权限。攻击者需导入包含恶意PHP对象的序列化字符串。如果网站存在额外的POP链(PHP Object Payload),可能导致代码执行。WordPress的 函数也可能存在类似风险。 CVE-2024-8722: 需要已登录的管理员权限。攻击者需运行包含恶意JavaScript负载的SVG文件导入。当查看该SVG时,JavaScript将运行。仅可通过管理员自行创建或导入包含恶意SVG的数据来利用。 注:据官方称,目前尚未发现这些漏洞被恶意利用的案例,但建议尽快更新以防扫描攻击。 修复方案 1. 备份站点:在进行任何重大更改或更新插件前,请务必备份站点。 2. 自动更新: 进入 WP Admin Dashboard。 访问 Plugins > Installed Plugins。 找到 WP All Import 或 WP All Export。 点击 Update(如果可用)。 3. 手动更新(如需要): 停用并删除旧版插件(导入/导出数据和设置会保留在数据库中)。 从 Customer Portal (Pro版) 或 WordPress.org (Free版) 下载最新版本。 安装并激活新版本。