Vulnerabilidad en Emlog (CVE-2025-47785)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
15/05/2025
Última modificación:
12/06/2025
Descripción
Emlog es un sistema de creación de sitios web de código abierto. En versiones anteriores a la 2.5.9, se produce una inyección SQL porque el parámetro $origContent en admin/article_save.php no está estrictamente filtrado. Dado que los usuarios registrados pueden acceder a admin/article_save.php, esto provocará una inyección SQL al habilitar el sitio registrado, lo que resulta en la inyección de la cuenta y contraseña del administrador, que posteriormente es explotada por la ejecución remota de código del backend. Al momento de la publicación, se desconoce si existe una solución.
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:emlog:emlog:*:*:*:*:pro:*:*:* | 2.5.9 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página