EMLOG Pro 2.5.19中的XSS漏洞CVE-2025-60448

EMLOG Pro 作为轻量级开源建站系统，其高效特性完美适配个人内容创作需求，资源占用低，运行速度快，适合低配服务器与个人用户。

一、基本情况

EMLOG Pro 主题与插件数量丰富，官方商店持续更新，对于个人用户、中小企业及初创团队而言，提供兼顾性能与成本的建站解决方案。

EMLOG Pro 2.5.19发布于 2025年08月11日，优化数据库导出和导入的性能，评论回复通知邮件增加原评论内容，优化其他界面细节和UI。

栋科技漏洞库关注到 EMLOG Pro 2.5.19版本中存在的存储型跨站脚本（XSS）漏洞，已被追踪为CVE-2025-60448，CVSS 3.X评分6.1。

二、漏洞分析

CVE-2025-60448漏洞是位于EMLOG Pro 2.5.19版本的存储型跨站脚本（XSS）漏洞，通过SVG文件上传在EMLOG Pro中存储XSS漏洞。

该漏洞源于/admin/media.php组件中的SVG文件上传验证不足，该漏洞的存在，使得攻击者可以上传包含JavaScript代码的恶意SVG文件，

当受害者查看上传的文件时，这些代码会执行，建议受影响用户将受影响的 EMLOG Pro 版本更新到最新版本，以防止不必要的安全问题。

具体来说，这一漏洞存在于媒体上传组件中，在将SVG文件上传存储在服务器上之前，该组件无法正确验证和清理上传的SVG文件，

这为通过恶意SVG内容存储的XSS攻击创建了一个向量。

该应用程序存在几个关键的安全问题：

SVG文件没有内容验证；

未对潜在危险的SVG元素和属性进行清理；

SVG文件具有允许JavaScript执行的正确MIME类型；

缺乏内容安全策略（CSP）来限制上传媒体中的脚本执行

漏洞允许具有管理权限的攻击者访问，可能导致在其他用户浏览器的上下文中执行任意JavaScript代码、窃取会话Cookie和身份验证令牌。

虽然该漏洞利用需要管理权限，但它可以用作链式攻击的一部分，使较低权限用户获得管理权限，利用漏洞保持持久性或进一步升级权限。

而要修复改漏洞，应该

对SVG文件进行适当的验证和清理；

从SVG文件中删除潜在危险的元素和属性；

考虑在上传过程中将SVG文件转换为其他图像格式（如PNG）；

实施内容安全策略（CSP）以防止执行内联脚本；

为上传的SVG文件提供MIME类型，以防止脚本执行。

三、POC概念验证

1、使用PHPStudy在本地部署EMLOG Pro 2.5.19

2、在识别出媒体上传组件中的漏洞后，创建了一个包含以下内容的恶意SVG文件：

管理员已设置登录后刷新可查看

3、SVG文件已成功上传，未进行任何安全检查：

4、当访问上传的SVG文件URL时，JavaScript代码在浏览器上下文中执行：

四、影响范围

EMLOG Pro <= 2.5.19

五、修复建议

EMLOG Pro >= 2.5.22

六、参考链接

管理员已设置登录后刷新可查看