EMLOG Pro 2.5.23跨站脚本漏洞CVE-2026-21431

EMLOG Pro 是基于 PHP+MySQL 开发的轻量级付费博客 / CMS 系统，是经典开源博客程序 EMLOG 的商业增强版，且支持多站点授权。

一、基本情况

EMLOG Pro 2.5.23版本发布于 2025年10月15日，该版本对页面管理进行优化，优化修复了部分插件因设置内容太长导致保存报错的问题。

栋科技漏洞库关注到 EMLOG Pro 2.5.23 版本易受通过图像名称存储的跨站脚本攻击漏洞，追踪为CVE-2026-21431，CVSS 4.0评分2.0。

二、漏洞分析

CVE-2026-21431漏洞是位于 EMLOG Pro 2.5.23 版本中一个易受通过图像名称存储的跨站脚本攻击的安全漏洞，通过映像名称存储XSS。

具体来说，在EMLOG Pro 2.5.23版本中，发布文章时“资源媒体库”功能存在一个存储的跨站脚本漏洞，该漏洞可能导致cookie被窃取。

该漏洞源于EMLOG Pro 2.5.23版本在发布文章时，将xss存储在资源媒体库函数中

三、POC概念验证

当任何用户尝试正常发布文章时

转到资源媒体库功能，选择上传照片

现在，转到您的计算机，获取任何照片，将其名称更改为><img src=1 onerror=alert（document.cookie）>.jpg并上传

作为管理员

作为管理员，若您需要发布文章并尝试使用资源媒体库功能，如果将鼠标悬停在照片名称上，代码将被执行并将您的cookie发送给攻击者。

四、影响范围

EMLOG Pro 2.5.23

五、修复建议

EMLOG Pro >= 2.6.1

六、参考链接

管理员已设置登录后刷新可查看