EMLOG Pro 2.5.23清除逻辑错误漏洞CVE-2025-62717

EMLOG Pro 是一款轻量级开源博客和 CMS 建站系统，具有速度快、省资源、易上手等特点，支持用户注册、投稿、评论互动基本功能。

一、基本情况

EMLOG Pro 具备插件扩展机制，用户可通过应用商店一键安装丰富的扩展功能，并且提供了完善的部署文档，适合各种规模的站点搭建。

EMLOG Pro 2.5.23版本发布于 2025年10月15日，该版本对页面管理优化，增加不返回列表保存按钮，标签管理界面可以直接添加标签。

栋科技漏洞库关注到EMLOG Pro 2.5.23版本中存在一个会话验证码错误清除逻辑错误漏洞，追踪为CVE-2025-62717，CVSS 4.0评分2.7。

二、漏洞分析

CVE-2025-62717漏洞是位于EMLOG Pro 2.5.23版本中的会话验证码清除逻辑错误漏洞，该漏洞是由于清除逻辑错误所致，漏洞评分较低。

这意味着验证码可能在任何需要电子邮件验证码的地方被重复使用，函数的unset($_SESSION['code']);错误应该为mail_code。

该漏洞已在提交代码1f726df中得到修复，具体漏洞代码如下：

emlog/admin/user.php line 107 checkMailCode()

@@ -110,7 +110,7 @@ static function checkMailCode($mail_code)
            session_start();
        }
        $session_code = isset($_SESSION['mail_code']) ? $_SESSION['mail_code'] : '';
        unset($_SESSION['code']);
        unset($_SESSION['mail_code']);
        if (!$mail_code || $mail_code !== $session_code) {
            return false;
        }

三、影响范围

EMLOG Pro <= 2.5.23

四、修复建议

EMLOG Pro > 2.5.23

五、参考链接

管理员已设置登录后刷新可查看