漏洞总结:emlog 远程代码执行漏洞 漏洞概述 漏洞名称:Remote Code Execution via Malicious Plugin Upload(通过恶意插件上传实现远程代码执行) CVE ID:CVE-2026-41517 严重程度:Critical (9.4/10) 漏洞成因:emlog 的插件上传功能存在安全缺陷。在 和 中,上传 ZIP 文件时缺乏对文件内容的有效验证(如未扫描 PHP 代码、未限制路径遍历),导致攻击者可以上传包含恶意 PHP 代码的 ZIP 包,并在服务器上直接执行。 影响范围 受影响版本:emlog < 2.6.11 攻击向量:Admin plugin upload(管理员插件上传接口 ) 影响后果: 完整的服务器权限沦陷(Complete server compromise)。 持久化后门安装。 数据泄露。 修复方案 建议在 的 函数和 上传处理逻辑中增加以下安全措施: 1. 路径遍历防护:在解压前检查文件名,拦截包含 的路径。 2. 文件名验证:限制文件名仅包含字母、数字、下划线和点。 3. 恶意代码扫描:解压后扫描 PHP 文件,检测 、 、 、 等危险函数。 4. MIME 类型校验:严格校验上传文件的 MIME 类型。 5. 文件大小限制:限制上传文件大小(例如 5MB)。 POC 代码与利用代码 1. 恶意 ZIP 结构 攻击者构造的 ZIP 包结构如下: 2. 修复建议代码 (include/lib/common.php) 针对 函数的修复代码: 3. 修复建议代码 (admin/plugin.php upload handler) 针对上传接口的修复代码: