Emlog是一款基于PHP+MySQL的开源博客系统,以轻量、简洁、易用著称。它适合个人博客和小型网站,提供文章发布、分类管理、标签、评论等基础功能。它支持插件和模板扩展,用户可根据需求自定义功能与外观。其代码结构清晰,易于二次开发,适合开发者进行个性化定制。Emlog注重安全性和性能优化,适合对速度和安全性有较高要求的用户。
国家信息安全漏洞共享平台于2025-03-07公布其存在跨站脚本漏洞。
漏洞编号:CNVD-2025-04611、CVE-2025-25783
影响产品:emlog v2.5.3
漏洞级别:高
公布时间:2025-03-07
漏洞描述:emlog v2.5.3版本存在文件上传漏洞,该漏洞源于 adminplugin.php 组件对上传的文件缺少有效的验证。导致不法分子可利用该漏洞上传Webshell(木马后门),从而进一步获取和破坏系统数据。
解决办法:
要解决该漏洞隐患,最佳办法是对网站做防篡改保护,阻止黑客非法上传文件。具体方法如下:
使用『护卫神·防入侵系统』的“篡改防护”和“网站后台保护”模块,对网站做防篡改保护,以及对后台做访问限制保护,让未授权人员不仅不能上传文件,还不能进入后台。这样黑客自然无法再入侵了!
1、防篡改保护
在“篡改防护-添加CMS防护”(如图一)。选择网站目录,安全模板选择“emlog安全模板”,并填写正确的后台地址,点击“确定”按钮,就添加好了。
护卫神防入侵系统内置有emlog防篡改规则模板,一键即可开启安全保护!
(图一:添加emlog防篡改规则)
设置好以后,防入侵系统就会立即在底层驱动锁死文件,同时还会对后台进行保护,访问时需要先验证授权密码(如图二),只有输入了正确的密码才能访问。
授权密码可以在“网站防护-访问保护-网站后台保护-授权密码”设置!
(图二:访问emlog后台需要输入授权密码)
