关键信息总结 漏洞概述 漏洞名称: EMLOG SQL Injection Vulnerability CVE ID: CVE-2025-47785 严重性: High (8.3/10) 受影响版本: emlog <= 2.5.9 修复版本: emlog <= 2.5.9 漏洞描述 问题: 文件中 参数过滤不严导致 SQL 注入。 影响: 普通注册用户可以访问该文件,通过注入 SQL 语句获取管理员账号密码,进而控制后台。 审计过程 关键代码: - 使用 获取参数。 - 通过 , 和 进行处理但未过滤。 - 值被拼接到 数组中,最终生成 SQL 语句。 Payload 漏洞操作过程 步骤: 1. 注册普通用户。 2. 访问 并传入 payload 进行 SQL 注入。 修复建议 措施: - 对输入进行过滤或使用 转义。 报告者 报告人: lisien11