DotNetNuke Editor script beszúrásos sérülékenység

2011. november 4. 08:25

CH azonosító

CH-5896

Angol cím

DotNetNuke Editor Script Insertion Vulnerability

Felfedezés dátuma

2011.11.02.

Súlyosság

Alacsony

Érintett rendszerek

DotNetNuke
DotNetNuke Corporation

Érintett verziók

DotNetNuke 5.x
DotNetNuke 6.x

Összefoglaló

A DotNetNuke sérülékenysége vált ismertté, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos (script insertion) támadásokat hajthatnak végre.

Leírás

Az alkalmazás nem megfelelően ellenőrzi a szerkesztő (editor) részére átadott bizonyos bemeneti adatokat a felhasználás előtt. Ez kihasználható bizonyos HTML és script kód beszúrására, ami a felhasználó böngészőjének munkamenetében kerül futtatásra az érintett oldallal kapcsolatban a káros tartalom megtekintése közben.

A sérülékenység kihasználása hozzáférést és szerkesztő jogosultságot igényel egy HTML modulhoz az 5.5.0 előtti verziókban és a letiltott üzenetküldő komponenssel rendelkező installációkban.

A sérülékenység a 5.6.4 és 6.1.0 előtti verziókat érinti.

Megjegyzés: A regisztrációs oldalon egy jelszó mezőt módosítottak annak érdekében, hogy ne töltődjön ki automatikusan például a böngésző által korábban feljegyzett értékkel.

Megoldás

Frissítsen az 5.6.4 vagy 6.1.0 verzióra.

Legfrissebb sérülékenységek

CVE-2024-20358 – Cisco ASA és FTD sérülékenysége

CVE-2024-20359 – Cisco ASA és FTD sérülékenysége

CVE-2024-20353 – Cisco ASA és FTD sérülékenysége

CVE-2024-31857 – WordPress Forminator plugin sérülékenysége

CVE-2024-31077 – WordPress Forminator plugin sérülékenysége

CVE-2024-28890 – WordPress Forminator plugin sérülékenysége

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

Tovább a sérülékenységekhez »

DotNetNuke Editor script beszúrásos sérülékenység