漏洞总结:emlog 后台管理功能跨站请求伪造 (CSRF) 漏洞概述 emlog 后台管理功能(包括系统注册、插件管理、配置更改)缺少 CSRF 保护,攻击者可诱导已登录的管理员执行未授权操作。 影响范围 受影响版本:emlog < 2.6.11 严重程度:高 (CVSS 8.4/10) 受影响用户:管理员(利用其权限执行系统注册、恶意插件安装、权限提升、系统配置更改) 修复方案 在关键后台文件( 和 )中增加 CSRF 验证逻辑。 1. 核心验证代码 ( ) 在文件中添加以下类和方法: 2. 关键功能调用验证 在以下位置调用 : 在 中: 在 中: 3. 前端表单添加 Token 在所有后台表单中添加隐藏字段: POC 代码 攻击者可通过构造恶意页面诱导管理员访问,从而触发未授权操作: