检测

Dotnetnuke 6.0.x < 9.11.0 多个漏洞 (09.11.00)

critical Nessus 插件 ID 165701

语言:

简介

远程 Web 服务器上运行的 ASP.NET 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 9.11.0 的 6.0.x。因此,该主机受到多个漏洞的影响。

 - 第三方依赖项 Moment.js 发布了其库的安全更新。问题修复方法 DNN Platform 9.11.0 已将此依赖项升级到最新版本,解决了此依赖项发布时的所有已知安全问题。受影响的版本 9.0.0 - 9.10.2 (2022-01)

 - DNN Platform 利用名为 CKEditor 的第三方 WYSIWYG 编辑器,此编辑器发布了多个高优先级安全问题。问题修复方法 DNN Platform 9.11.0 已更新到 CKE 4.18.0 版本并删除了某些插件,以解决安全公告提及的各种问题。如果您使用的并非所提供的插件,我们建议您检查这些插件是否有可用更新。受影响的版本。8.0.0 - 9.10.2 (2022-02)

 - 存在问题,经身份验证的用户可通过构建数据负载,在某些配置中的安装页面上任意执行 JavaScript 代码。问题修复方法 DNN Platform 9.11.0 对受影响的区域进行了更改,确保所有数据显示和存储都受到保护。受影响的版本 7.0.0 - 9.10.2 (2022-03)

 - 恶意用户可通过构建特殊请求在 Digital Assets Manager 内执行 XSS 负载。
 问题修复方法 已从 9.11.0 版的所有安装文件中删除 Digital Assets Manager 模块。已从旧版安装中删除 Digital Asset Manager 的用户不会受到此问题影响。受影响的版本 7.0.0 - 9.10.2 (2022-04)

 - DNN Platform 使用的 jQuery 和 jQuery UI 发布了多个安全公告。问题修复方法 已 9.11.0 版中将 JQuery 和 jQuery UI 更新为最新版本 受影响的版本 8.0.0 - 9.10.2 (2022-05)

 - DNN Platform 为编辑器分发了第三方扩展,该扩展可能允许重定向到不受信任的目标。问题修复方法。已从 DNN Platform 9.11.0 版中删除受影响的组件 受影响的版本 8.0.0 - 9.10.2 (2022-06)

 - DNN Platform 的部分管理功能使用了 KnockoutJS,而该库的发布者发现了新的安全漏洞。问题修复方法 DNN Platform 9.11.0 已更新为最新版 Knockout 受影响的版本 9.0.0 - 9.10.2 (2022-07)

 - DNN 管理员功能错误地允许其他管理员查看存储的凭据。问题修复方法 DNN Platform 9.11.0 更新了界面,以确保其他管理员无法查看之前存储的凭据。受影响的版本 9.0.0 - 9.10.2 (2022-08)

 - DNN Platform 使用 Newtonsoft JSON 进行 api 序列化,此库的制作者发布了高优先级安全公告。问题修复方法 DNN Platform 9.11.0 已更新至最新版本。
 受影响的版本 6.0.0 - 9.10.2 (2022-09)

 - DNN Platform 分发并使用 SharpZipLib 来提供文件压缩功能。此库的制作者发布了高优先级安全公告。问题修复方法 DNN Platform 9.11.0 已更新至最新版本。受影响的版本 6.0.0 - 9.10.2 (2022-10)

 - DNN Platform 使用 log4net 实现应用程序日志记录,此库的制作者发布了高优先级安全公告。问题修复方法 DNN Platform 9.11.0 已更新至最新版本。受影响的版本 6.0.0 - 9.10.2 (2022-11)

 - 超级用户可以通过特制的请求获取 DNN Platform 安装目录中任意文件的内容。问题修复方法 DNN Platform 9.11.0 解决了此问题 受影响的版本 9.0.0 - 9.10.2 (2022-12)

 - 使用自定义的身份验证提供程序可以避开传统上在遵循特定访问序列的应用程序日志记录时完成的逻辑。问题修复方法 9.11.0 已通过调整进程流解决此问题。受影响的版本 7.4.2 - 9.10.2 (2022-13)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Dotnetnuke 版本 9.11.0 或更高版本。

插件详情

严重性: Critical

ID: 165701

文件名: dotnetnuke_9_11_0.nasl

版本: 1.3

类型: remote

系列: CGI abuses

发布时间: 2022/10/5

最近更新时间: 2024/6/5

配置: 启用全面检查

支持的传感器: Nessus

风险信息

CVSS 分数理由: Score based on analysis of the vendor advisory.

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: manual

CVSS v3

风险因素: Critical

基本分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

漏洞信息

CPE: cpe:/a:dotnetnuke:dotnetnuke

必需的 KB 项: installed_sw/DNN

排除的 KB 项: Settings/disable_cgi_scanning

补丁发布日期: 2022/9/28

漏洞发布日期: 2022/9/28