EMLOG PRO 2.5.7版本跨站点脚本漏洞CVE-2025-5886

EMLOG Pro 2.5.7版本发布于2025年02月25日，该版本优化了设置界面的开关控件样式，解决了更新时默认主题favicon会被覆盖等问题。

一、基本情况

EMLOG Pro 2.5.7版本的分类设置了增加每页展示文章数量的限制，方便不同分类展示不同数量的文章，增加了前台全文搜索等诸多功能。

栋科技漏洞库关注到EMLOG PRO 2.5.7及以下版本中存在一个XSS漏洞，该漏洞现已被追踪为CVE-2025-5886，漏洞的CVSS评分为3.5。

二、漏洞分析

CVE-2025-5886漏洞是EMLOG PRO 2.5.7及以下版本中存在的XSS漏洞，属低危漏洞，该漏洞具体位于\admin\articel.PHP文件的第90行。

具体来说，该漏洞源于受影响版本中的articel.PHP文件第90行代码中的$val直接使用用户输入的参数值而导致的，该漏洞现已被公开披露。

如果参数中包含恶意脚本，比如说使用jsonpcallback=%22%3E%3CsCrIpT%3Ealert(1)%3C/ScRiPt%3E，则输出到HTML时会导致XSS。

这意味着攻击者可以通过操纵参数active_post导致跨站脚本攻击的发生，值得注意的是，虽然这一漏洞为低危漏洞，但攻击可能远程发起。

三、影响范围

EMLOG PRO <= 2.5.7

四、修复建议

EMLOG PRO >= 2.5.13

五、参考链接