DNN < 9.13.9 DotNetNuke.Core 多個弱點
medium Nessus Plugin ID 237464
語言:
概要
遠端網頁伺服器上執行的應用程式受到多個弱點影響說明
根據其自我報告的版本遠端 Web 伺服器上執行的 DNN (之前稱為 DotNetNuke) 執行個體比 9.13.9舊。因此,會受到多個弱點影響:- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前惡意的 SuperUser (主機) 可能會特製要求以使用外部 URL 來進行隨後匯入的網站匯出。9.13.9 版可修復此問題。 (CVE-2025-48376)
- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前可能會建構一個特製的 URL其可插入透過使用某些模組動作觸發的 XSS 承載。9.13.9 版可修復此問題。 (CVE-2025-48377)
- DNN (前身為 DotNetNuke) 是 Microsoft 生態體系中的一個開放原始碼 Web 內容管理平台 (CMS)。在 9.13.9版之前上傳的 SVG 檔案可能包含指令碼且如果內嵌轉譯這些指令碼可能會執行進而允許 XSS 攻擊。9.13.9 版可修復此問題。 (CVE-2025-48378)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 DNN 9.13.9 或更新版本。另請參閱
http://www.nessus.org/u?895152c9
Plugin 詳細資訊
嚴重性: Medium
ID: 237464
檔案名稱: dotnetnuke_9_13_9.nasl
版本: 1.1
類型: remote
系列: CGI abuses
已發布: 2025/5/29
已更新: 2025/5/29
支援的感應器: Nessus
Enable CGI Scanning: true
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Low
基本分數: 3.5
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2025-48378
CVSS v3
風險因素: Medium
基本分數: 5.4
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CVSS v4
風險因素: Medium
Base Score: 6.1
Threat Score: 2.1
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N
弱點資訊
CPE: cpe:/a:dnnsoftware:dotnetnuke, cpe:/a:dotnetnuke:dotnetnuke
必要的 KB 項目: installed_sw/DNN
排除在外的 KB 項目: Settings/disable_cgi_scanning
修補程式發佈日期: 2025/5/23
弱點發布日期: 2025/5/23
參考資訊
CVE: CVE-2025-48376, CVE-2025-48377, CVE-2025-48378
IAVA: 2025-B-0082