DNN < 9.13.9 DotNetNuke.Core 多個弱點

medium Nessus Plugin ID 237464

概要

遠端網頁伺服器上執行的應用程式受到多個弱點影響

說明

根據其自我報告的版本遠端 Web 伺服器上執行的 DNN (之前稱為 DotNetNuke) 執行個體比 9.13.9舊。因此,會受到多個弱點影響:

- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前惡意的 SuperUser (主機) 可能會特製要求以使用外部 URL 來進行隨後匯入的網站匯出。9.13.9 版可修復此問題。 (CVE-2025-48376)

- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前可能會建構一個特製的 URL其可插入透過使用某些模組動作觸發的 XSS 承載。9.13.9 版可修復此問題。 (CVE-2025-48377)

- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前上傳的 SVG 檔案可能包含指令碼且如果內嵌轉譯這些指令碼可能會執行進而允許 XSS 攻擊。9.13.9 版可修復此問題。 (CVE-2025-48378)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 DNN 9.13.9 或更新版本。

另請參閱

http://www.nessus.org/u?895152c9

http://www.nessus.org/u?b4b6b0b0

http://www.nessus.org/u?5646711c

Plugin 詳細資訊

嚴重性: Medium

ID: 237464

檔案名稱: dotnetnuke_9_13_9.nasl

版本: 1.1

類型: remote

系列: CGI abuses

已發布: 2025/5/29

已更新: 2025/5/29

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Low

基本分數: 3.5

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2025-48378

CVSS v3

風險因素: Medium

基本分數: 5.4

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVSS v4

風險因素: Medium

Base Score: 6.1

Threat Score: 2.1

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N

弱點資訊

CPE: cpe:/a:dnnsoftware:dotnetnuke, cpe:/a:dotnetnuke:dotnetnuke

必要的 KB 項目: installed_sw/DNN

排除在外的 KB 項目: Settings/disable_cgi_scanning

修補程式發佈日期: 2025/5/23

弱點發布日期: 2025/5/23

參考資訊

CVE: CVE-2025-48376, CVE-2025-48377, CVE-2025-48378

IAVA: 2025-B-0082