关键信息 漏洞类型: 存储型XSS 受影响版本: <= pro-2.5.17 修复版本: 无 严重性: 中等 (5.4/10) CVE ID: CVE-2025-53925 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 需要 - 范围: 变更 - 机密性影响: 低 - 完整性影响: 低 - 可用性影响: 无 漏洞描述 概述 在emlog CMS的文件上传功能中存在跨站脚本(XSS)漏洞,允许经过身份验证的远程攻击者通过文件上传功能注入任意Web脚本或HTML。 细节 作为经过身份验证的用户,可以上传包含JavaScript代码的.svg文件,该文件稍后会被执行。 利用方式 1. 以注册用户身份发送以下HTTP请求: 2. 访问上传文件的URL。上传此类文件后,可以将URL发送给其他用户或说服他们访问该URL。