CVE-2026-21433Emlog是一款开源网站构建系统,在其2.5.19及之前版本中存在严重的服务器端请求伪造(SSRF)和带外(OOB)请求漏洞。漏洞源于系统对用户上传的SVG文件处理不当,当服务器对SVG文件进行缩略图生成、预览或清理操作时,会自动解析并请求SVG文件中引用的外部资源。攻击者可利用此漏洞上传包含恶意外部资源引用的SVG文件,诱导服务器向攻击者控制的外部主机发起HTTP请求,从而实现对内网资源的探测、敏感元数据获取以及潜在凭据泄露。该漏洞无需高权限即可利用,攻击复杂度低,且无需用户交互即可触发。
漏洞根源在于Emlog的媒体文件上传功能(/admin/media.php)缺乏对SVG文件内容的安全验证。SVG(Scalable Vector Graphics)是一种基于XML的矢量图形格式,支持通过<use>、<image>、<script>等标签引用外部资源。攻击者构造包含恶意外部资源引用的SVG文件上传至服务器,当服务器调用图像处理函数(如GD库、ImageMagick等)对SVG进行缩略图生成或预览渲染时,这些库会解析SVG的外部引用并发起HTTP请求。攻击者可注册与SVG中引用域名相同的服务器,捕获服务器发出的请求,获取服务器的公网IP、内部网络配置等信息。进一步可利用这些信息进行内网横向移动或探测云服务元数据接口(如AWS 169.254.169.254)。