EMLOG Pro 2.5.22中的XSS漏洞CVE-2025-61769

EMLOG Pro 是一款优秀的内容管理系统（CMS），其在代码层面进行了一定的性能优化，能够保障网站在加载速度等方面有较好的表现。

一、基本情况

EMLOG Pro 是一款功能较为全面、易用性高且具备一定拓展性的内容管理系统，在网站搭建与内容管理领域有着不错的口碑和广泛应用。

EMLOG Pro 2.5.22版本发布于2025年10月01日，优化导航隐藏和显示、优化后台插件开启和关闭的体验，优化默认主题手机端导航展示。

栋科技漏洞库关注到EMLOG Pro 2.5.22之前版本中存在的跨站脚本（XSS）漏洞，漏洞现已被追踪为CVE-2025-61769，CVSS4评分 2.1。

二、漏洞分析

CVE-2025-61769漏洞是EMLOG Pro 2.5.22之前版本的一个存在跨站脚本（XSS）漏洞，这一漏洞影响相关程序相关版本的文件上传功能。

漏洞允许认证的远程攻击者通过文件上传功能注入任意网页脚本或HTML，可以上传包含JavaScript代码的.svg文件，该代码随后会被执行。

这里需要明确的前提是，漏洞被利用需要管理员权限，提交号为052f9c4226b2c0014bcd857fec47677340b185b1的补丁已修复这个问题。

具体的漏洞代码如下：

管理员已设置登录后刷新可查看

三、POC概念验证

1、以注册用户身份发送以下HTTP请求：

管理员已设置登录后刷新可查看

管理员已设置登录后刷新可查看

2、访问已上传文件的URL

上传此类文件后，可将URL发送给其他用户或诱导其访问该链接

四、影响范围

EMLOG Pro <= 2.5.22

五、修复建议

EMLOG Pro > 2.5.2

六、参考链接

管理员已设置登录后刷新可查看