CVE-2026-21431Emlog是一款开源网站构建系统(内容管理系统)。该系统在2.5.23版本的资源媒体库功能中存在一处存储型跨站脚本(Stored XSS)漏洞。漏洞源于系统在处理用户上传的文件名或资源内容时,未对用户输入进行充分的过滤和转义处理,导致恶意JavaScript代码被永久存储在服务器端。当其他用户访问包含该恶意内容的页面时,攻击者注入的脚本代码将在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取、网页篡改等危害。由于该漏洞属于存储型XSS,攻击载荷一旦植入便会持续影响所有访问相关内容的用户。截至漏洞披露时,官方尚未发布修复版本。
漏洞存在于Emlog 2.5.23版本的资源媒体库模块中。攻击者可以利用低权限账号登录系统,在上传资源或发布文章的过程中,将恶意JavaScript代码嵌入到文件名、资源描述或文章内容中。由于系统后端未对用户输入进行严格的HTML实体编码或输入验证,恶意代码被直接存储到数据库中。当管理员或其他用户浏览包含该恶意内容的页面时,浏览器会解析并执行这些脚本代码。攻击者可通过此漏洞窃取用户Cookie、劫持会话、进行钓鱼攻击或植入更多恶意内容。攻击利用需要用户交互(浏览恶意页面),攻击复杂度低,且攻击者仅需低权限账号即可实施。