検出

DNN(DotNetNuke) < 8.0.4 の複数の脆弱性

medium Nessus プラグイン ID 93197

Language:

概要

リモートのWebサーバーに、複数の脆弱性の影響を受けるASP.NETアプリケーションが含まれています。

説明

リモートホストで実行中のバージョンの DNN プラットフォーム(旧 DotNetNuke)は、複数の脆弱性による影響を受けます:

 - ユーザー許可を不適切に検証しているため、欠陥が存在します。特定ページを編集するための許可がある、認証されたリモートの攻撃者が、これを悪用して、サイトコンテナを全ページにわたり変更する可能性があります。

 - 登録ページへのリンクをユーザーに返す前に不適切に検証しているため、クロスサイトスクリプティングの脆弱性が存在します。認証されていないリモートの攻撃者が、これを悪用して、細工されたリンクをユーザーにたどらせることで、悪意のある Web サイトにユーザーをリダイレクトする可能性があります

 - 詳細不明な欠陥が存在するため、DNN サイトのルートの外部でファイルにアクセスできる認証されたリモートの攻撃者が、サーバー上のどの場所にも既存の画像をコピーする可能性があります。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

DNN Platformバージョン8.0.4以降にアップグレードしてください。

参考資料

https://www.dnnsoftware.com/community/security/security-center

プラグインの詳細

深刻度: Medium

ID: 93197

ファイル名: dotnetnuke_8_0_4.nasl

バージョン: 1.10

タイプ: remote

ファミリー: CGI abuses

公開日: 2016/8/29

更新日: 2025/5/14

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus

Enable CGI Scanning: true

脆弱性情報

CPE: cpe:/a:dotnetnuke:dotnetnuke

必要な KB アイテム: installed_sw/DNN

パッチ公開日: 2016/8/20

脆弱性公開日: 2016/8/20