CVE-2026-21433 (CNNVD-202601-078)
中文标题:
emlog 代码问题漏洞
英文标题:
Emlog vulnerable to Server-Side Request Forgery (SSRF)
漏洞描述
中文描述:
emlog是emlog开源的一套基于PHP和MySQL的CMS建站系统。 Emlog 2.5.19及之前版本存在代码问题漏洞,该漏洞源于通过上传SVG文件可能导致服务器端带外请求或服务端请求伪造,从而探测内部网络和泄露元数据或凭据。
英文描述:
Emlog is an open source website building system. Versions up to and including 2.5.19 are vulnerable to server-side Out-of-Band (OOB) requests / SSRF via uploaded SVG files. An attacker can upload a crafted SVG to http[:]//emblog/admin/media[.]php which contains external resource references. When the server processes/renders the SVG (thumbnailing, preview, or sanitization), it issues an HTTP request to the attacker-controlled host. Impact: server-side SSRF/OOB leading to internal network probing and potential metadata/credential exposure. As of time of publication, no known patched versions are available.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| emlog | emlog | <= 2.5.19 | - | - |
cpe:2.3:a:emlog:emlog:<=_2.5.19:*:*:*:*:*:*:*
|
| emlog | emlog | * | - | - |
cpe:2.3:a:emlog:emlog:*:*:*:*:pro:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
HIGHCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2026-21433 |
2026-01-07 02:47:01 | 2026-01-12 02:12:36 |
| NVD | nvd_CVE-2026-21433 |
2026-01-09 03:00:06 | 2026-01-12 02:28:16 |
| CNNVD | cnnvd_CNNVD-202601-078 |
2026-01-11 06:15:05 | 2026-01-12 02:38:11 |
版本与语言
安全公告
变更历史
查看详细变更
- affected_products_count: 1 -> 2
查看详细变更
- vulnerability_type: 未提取 -> 代码问题
- cnnvd_id: 未提取 -> CNNVD-202601-078
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']