关键信息 漏洞概述 漏洞类型: 反射型XSS(Cross-Site Scripting) 受影响版本: emlog <= pro-2.5.17 修复版本: 无 严重性: 中等 (CVSS v3 基本评分: 6.1/10) 描述 摘要: 在emlog CMS的pro-2.5.17版本之前存在跨站脚本(XSS)漏洞,允许远程攻击者通过评论和comname参数注入任意网页脚本或HTML。 详细信息: 反射型XSS需要受害者发送POST请求,因此必须诱使受害者点击恶意URL。 利用方式 (PoC) 1. 准备包含以下代码的恶意网站: 2. 通过社会工程学等手段诱使受害者访问准备好的网站。 3. 受害者被重定向,恶意JS代码被执行。 其他信息 CVE ID: CVE-2025-53926 弱点: CWE-80 报告者: Szczurowsky, xProYx