DNN (DotNetNuke) 5.2.0 < 9.1.1 多个漏洞

high Nessus 插件 ID 101397

语言：

简介

远程 Web 服务器包含受到多种漏洞影响的 ASP.NET 应用程序。

描述

远程主机上运行的 DNN Platform （旧称 DotNetNuke）版本为 5.2.0 或低于 9.1.1 的更高版本。因而会受到多个漏洞的影响：- 存在一个远程代码执行漏洞，这是因为使用不安全的 Web cookie 来识别用户所致。未经身份验证的远程攻击者可利用此问题，通过冒充用户并向服务器上传恶意代码，执行任意代码。此漏洞会影响 7.0.0 至 9.1.0 之间的所有版本。- 处理跨文件消息发送时存在一个缺陷，这是因为过度宽松的 HTML5 消息发帖政策所致。未经身份验证的远程攻击者可利用此问题，执行欺骗攻击或泄露敏感信息。此漏洞会影响 8.0.0 至 9.1.0 之间的所有版本。- 由于未正确验证用户提供的输入便将其返回给用户，存在跨站重定向漏洞。未经身份验证的远程攻击者可利用此问题，诱骗用户前往特制链接，进而将其重定向至攻击者选择的网站。此漏洞会影响 7.0.0 至 9.1.0 之间的所有版本。- 存在一个远程代码执行漏洞，这是因为未能正确验证上传文件的类型和扩展名，便将其放入用户可访问的路径所致。经身份验证的远程攻击者可利用此问题，以 Web 服务器权限执行任意代码。此漏洞会影响 5.2.0 至 9.1.0 之间的所有版本。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。