EMLOG Pro 2.5.23访问控制失效CVE-2026-21429

EMLOG Pro 是一个开源的网站建设系统，该网站系统非常适合个人博客、自媒体、小型企业站、文档库、资源下载站等轻量级内容站点。

一、基本情况

EMLOG Pro 多媒体资源管理器支持图片 / 音频 / 视频上传、分类、云存储对接，一键嵌入文章，其全响应式设计，自动适配 PC / 移动端。

EMLOG Pro 2.5.23版本发布于2025年10月15日，该版本对页面管理进行了优化，修复了部分插件因设置内容太长导致保存报错等等问题。

栋科技漏洞库关注到EMLOG Pro 2.5.23版本中存在的一个访问控制失效漏洞，该漏洞已被追踪为CVE-2026-21429，CVSS 4.0评分为5.1。

二、漏洞分析

CVE-2026-21429是位于EMLOG Pro 2.5.23版本中的漏洞，管理员可以设置控制功能，使得用户在发布文章后无法编辑或删除这些文章。

具体来说，管理员可以通过设置进行控制，这样用户在发布文章后将无法编辑或删除自己的文章

但我找到了一个方法，可以让我绕过这个限制

三、POC概念验证

作为注册用户角色

1、转到任何你发布的文章，更新其中的任何内容，并点击保存按钮，然后使用burp获取此请求，请求将如下所示

作为admin账户

2、设定一个环境，让注册用户可以在无需审核的情况下发布内容，且发布后无法编辑或删除

作为注册用户角色

3、现在尝试编辑任何已发布的文章，你都会看到

4、去请求我们在Burp中保存并更新帖子中的任何数据，如标题，并查看是否已成功更新

影响

poken Access Control（BAC）：可能会导致像这样的未授权行为

四、影响范围

EMLOG Pro 2.5.23

五、修复建议

EMLOG Pro >= 2.6.1

六、参考链接

管理员已设置登录后刷新可查看