DNN < 9.13.8 DotNetNuke.Core 伺服器端要求偽造 (CVE-2025-32372)

medium Nessus Plugin ID 234499

概要

遠端 Web 伺服器上執行的應用程式受到一個伺服器端要求偽造弱點影響。

說明

根據其自我報告的版本,遠端 Web 伺服器上執行的 DNN (之前稱為 DotNetNuke) 執行個體比 9.13.8舊。因此受到一個伺服器端要求偽造弱點影響:

- DNN (前身為 DotNetNuke) 是 Microsoft 生態系統中的開放原始碼 Web 內容管理平台 (CMS)。先前已知的弱點 CVE-2017-0929發現一個繞過問題,未經驗證的攻擊者可藉此對目標系統執行任意 GET 要求,包括內部或相鄰網路。此弱點有助於半盲式 SSRF 攻擊,進而允許攻擊者讓目標伺服器將要求傳送至內部或外部 URL,而不需要檢視完整的回應。潛在影響包括內部網路偵察、繞過防火牆。此弱點已在 9.13.8 中修復。(CVE-2025-32372)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 DNN 9.13.8 或更新版本。

另請參閱

http://www.nessus.org/u?7fdaf53f

Plugin 詳細資訊

嚴重性: Medium

ID: 234499

檔案名稱: dotnetnuke_9_13_8.nasl

版本: 1.3

類型: remote

系列: CGI abuses

已發布: 2025/4/16

已更新: 2025/5/29

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: High

基本分數: 7.1

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:C/A:N

CVSS 評分資料來源: CVE-2025-32372

CVSS v3

風險因素: Medium

基本分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

弱點資訊

CPE: cpe:/a:dnnsoftware:dotnetnuke, cpe:/a:dotnetnuke:dotnetnuke

必要的 KB 項目: installed_sw/DNN

排除在外的 KB 項目: Settings/disable_cgi_scanning

修補程式發佈日期: 2025/4/7

弱點發布日期: 2025/4/7

參考資訊

CVE: CVE-2025-32372

IAVB: 2025-B-0055-S