检测

DNN (DotNetNuke) < 6.0.0 <= 9.3.2 多个漏洞

medium Nessus 插件 ID 131764

语言:

简介

远程 Web 服务器包含受到多种漏洞影响的 .NET 应用程序。

描述

远程主机上运行的 DNN Platform (旧称 DotNetNuke)版本为 6.0.0 或低于等于 9.3.2 的更高版本。因而会受到包括以下的多个漏洞影响:- 存在一个未经授权文件访问漏洞,这是因为动态文件类型的验证不充分所导致。经过身份验证的远程攻击者可利用此漏洞,在远程主机上未经授权添加或编辑文件。- 存在信息泄露漏洞。经过身份验证的远程攻击者可利用此问题泄露用户账户信息。- 存在一个跨站脚本 (XSS) 漏洞,这是因为未正确验证用户提供的输入,便将其返回给用户所导致。未经身份验证的远程攻击者可利用此问题,通过诱使用户单击特制的 URL,在用户的浏览器会话中执行任意脚本代码。请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。

解决方案

升级到 DNN Platform 9.4.1 版或更高版本。

另见

https://www.dnnsoftware.com/community/security/security-center

插件详情

严重性: Medium

ID: 131764

文件名: dotnetnuke_9_4_1.nasl

版本: 1.3

类型: remote

系列: CGI abuses

发布时间: 2019/12/6

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

CVSS 分数理由: Tenable score for xss

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Medium

基本分数: 6.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

漏洞信息

CPE: cpe:/a:dotnetnuke:dotnetnuke

必需的 KB 项: installed_sw/DNN

补丁发布日期: 2019/11/22

漏洞发布日期: 2019/11/22

参考资料信息

IAVB: 2019-B-0088-S