之前立了一个flag，说要修复emlog的漏洞。clone了官方的github修复，结果发现是6.0，顺便把6.0的问题修复了(#( ▼-▼ ))
可是我喜欢5.3.1的微语功能，又下载了5.3.1版本重新修复了一遍 - =

FIXed 6.0

6.0版本bug已经pull给官方，如果官方没有合并的话可以去这里下载 https://github.com/boy-hack/emlog

FIXed 5.3.1

因为不想和emlog版本号发生冲突，就直接用+来命名了，5.3.1+主要修复了emlog的一些bugs。漏洞信息来自我的乌云镜像库 https://bugs.hacking8.com/?type=1&q=emlog

修复纪录：

1. csrf导致的data.php 删除文件漏洞
2. 对插件处防止csrf攻击。
3. 修复session验证导致的后台无视验证码暴力破解
4. 修复鸡肋的文件包含src/admin/plugin.php
5. [自己发现]后台权限下attachment.php任意文件删除漏洞
6. 修复上传组建uploadify.swf导致的xss漏洞

07/8/9 更新

感谢@Eternitytree Blog ：修复了后台作者权限下可查看 phpinfo 信息

感谢@sxx1314 : 关于 include/lib/js/uploadify/uploadify.swf 的xss漏洞，uploadify.swf 我是直接copy的6.0的，因为我看提交记录上有一条修复了xss，但是@sxx1314提醒了我，测试了一下发现还是弹窗了- =，由于不懂swf，不知道如何修复然后去uploadify官网下载了最新版，发现更新日期还停留在2013年。 测试了发现依然有xss。补丁包提供了最新版本的uploadify.swf,虽然测试依然有问题，所以还是建议大家删除uploadify.swf这个文件。

另普及下：uploadify.swf的作用是后台的批量上传功能，为了博客的安全，建议删除 include/lib/js/uploadify/uploadify.swf文件

关于如何升级

全新安装：下载修复版直接安装即可

补丁安装：24cf1501147745.zip 下载文件解压覆盖即可（5.3.1版本）