EMLOG Pro 2.5.17跨站点脚本漏洞CVE-2025-53923

EMLOG Pro是一款基于PHP和MySQL的轻量级博客及CMS建站系统，轻量且非常优秀，也是采用Markdown语法编辑器的内容创作工具。

一、基本情况

EMLOG Pro 2.5.17版本发布于2025年06月29日，增加上传图片、文件路径使用相对路径配置项，优化应用商店体验，如自动加载等细节。

栋科技漏洞库关注到EMLOG Pro 2.5.17及之前版本中存在一个跨站点脚本（XSS）漏洞，已被追踪为CVE-2025-53923，CVSS评分8.2。

二、漏洞分析

CVE-2025-53923漏洞是EMLOG Pro 2.5.17及之前版本存在的跨站点脚本（XSS）漏洞，源于参数缺乏净化，可能导致代码注入的情况。

具体来说，该漏洞可能导致远程攻击者通过关键字参数注入任意web脚本或HTML，由于缺乏净化，可能将HTML/JS代码注入关键字参数。

这意味着别有用心的攻击者如果诱导攻击者点击精心制作的链接，那么就有可能在管理员浏览器中执行任意JS代码，因此漏洞危险性较高。

三、POC概念验证

1、准备一个如下恶意地址：

http://[REDACTED]/emlog/admin/store.php?keyword=aijaja%22%27%3E%3Cimg+src=x+onerror=alert(1)%3E

2、通过各种手段，如社工技术，诱导管理员点击上述URL链接

3、执行JS代码输出结果：

四、影响范围

EMLOG Pro <= 2.5.17

五、修复建议

EMLOG Pro >= 2.5.18

六、参考链接

管理员已设置登录后刷新可查看