安全中心

背景

DNN平台包括Telerik.Web.UI.dll作为默认安装的一部分，包括当前版本。

问题摘要

恶意用户可能会用自己选择的内容替换或更新带有特定文件扩展名的文件，而不需要经过网站的身份验证。

修复了此问题

移除Telerik是唯一安全的方法，但这是一个可选的步骤。所有的安装都应按照上面的说明进行DNN文件

受影响的版本

DNN平台版本5.2.0到9.10.1

问题摘要

在DNN平台的某些配置中，匿名用户可以请求并接收应用程序中的文件内容。

解决此问题的方法

升级到DNN平台9.10.1是这个问题的唯一解决方案，对于那些受到影响的配置。有关此问题，请联系security@dnnsoftware.com。

受影响的版本

DNN平台版本6.1.0到9.10.0

DNN平台包括并使用jQuery库作为基础安装的一部分。

问题摘要

jQuery的发布版本的维护者3.5.0包含了一个关于HTML操作的安全修复。

修复了此问题

DNN平台9.6.0发布时包含了3.5.0,9.6.1在发布紧急更新后与jQuery 3.5.1一起发布。建议升级到最新的DNN版本，以利用这些修复。如果没有DNN版本升级，就不可能单独更新jQuery。

受影响的版本

DNN平台版本5.0.0到9.6.0

背景

DNN平台包括Telerik.Web.UI.dll作为默认安装的一部分。

问题摘要

恶意用户可能会用自己选择的内容替换或更新带有特定文件扩展名的文件，而不需要经过网站的身份验证。

修复了此问题

要修复这个问题需要升级到DNN平台版本（9.6.1或更高版本）。

受影响的版本

DNN平台版本5.0.0通过9.6.0

确认

DNN社区感谢以下人员识别问题并/或与我们合作帮助保护用户

• DotControl数字创意公司的罗伯特·博斯克

相关的CVE:

cve - 2019 - 19790

背景

DNN平台包含多个提供功能的JavaScript库。许多这样的库都发布了自己的安全漏洞，如XSS、DDoS和类似漏洞。

问题摘要

许多旧的JavaScript库已经更新，关闭了多个单独的安全通知。

解决此问题的方法

由于所包含元素的性质，以及它们与DNN平台的使用，针对此问题的唯一解决方案是升级到DNN平台9.5.0或更高版本。

受影响的版本

DNN平台版本6.0.0到9.4.4

背景

问题摘要

对于启用用户注册的网站，用户可以为其配置文件注入一个可以公开信息的配置文件来绘制注册，这可以使用xss样式漏洞利用来公开信息。

缓解因素

不允许注册的网站将不受此问题影响。

修复了此问题

用户需要将DNN平台升级到9.5.0及以上版本才能避免出现此问题。

受影响的版本

DNN平台版本7.0.0到9.4.4

DNN平台提供了许多上传文件的方法，包括zip文件，允许它们在上传后提取。

问题摘要

恶意用户可能上传具有特定配置的文件，并告诉DNN平台提取该文件。这个过程可以覆盖用户没有被授予权限的文件，并且在没有管理员通知的情况下进行。

修复了此问题

解决此问题的唯一正确方法是升级到DNN平台9.6.0或更高版本。

受影响的版本

DNN平台版本5.0.0到9.5.0。3.答案为c。x和4。也安装了X，但未经过验证)

DNN有一个内部的用户对用户消息传递系统，允许用户进行通信，但不是所有的安装都使用这个系统。当发送消息时，可以上传/发送文件。

问题摘要

恶意用户可能会利用进程在消息中包含一个他们可能没有权限查看/上传的文件，通过DNN文件系统的工作方法，他们可能能够访问该文件。

缓解因素

使用“Secure”文件夹类型配置的安装不会公开文件内容。这是保证机密文档文件安全的推荐方式，因为这是在下载时提供安全文件检查的唯一方法。

修复了此问题

为了缓解这个问题，需要升级到DNN平台9.6.0或更高版本。

确认

DNN社区感谢以下人员在这个问题上的帮助。

• 康纳内夫

受影响的版本

DNN平台版本7.0.0到9.5.0。

背景

DNN提供了许多方法，允许用户操作文件系统，作为所提供的内容管理系统功能的一部分。vwin德赢下载有一个合理的期望，即只有那些显式授予的权限才能添加/编辑文件。

问题摘要

知道该漏洞的恶意用户可以在文件系统中添加或编辑文件，而不需要显式地授予权限。

缓解因素

DNN提供了文件类型限制，这限制了此漏洞允许文件上传的能力。建议所有用户验证他们允许的文件类型设置，以确保动态文件类型被排除在外。

修复了此问题

为了解决此问题，需要升级到DNN平台版本(9.4.1或更高版本)。

目前，还没有针对以前版本的已知补丁。

受影响的版本

DNN平台版本7.0.0到9.3.2

谢谢

DNN的社区要感谢萨贾德Pourali报告此问题。

背景

DNN提供了一种用户帐号机制，可用于在系统中注册用户。这个过程有许多支持特性来服务这些帐户，以及许多方法来配置站点行为。

问题摘要

在具有某些配置的站点中，恶意用户可能会发现有关安装中存在用户帐户的某些信息。

缓解因素

这个问题只有在DNN安装的特定配置中才明显，并且恶意用户已经知道所获得的信息，这是发现行为的一部分。

修复了此问题

为了解决此问题，需要升级到DNN平台版本(9.4.1或更高版本)。

在这个时候，没有已知的补丁为以前的版本..

受影响的版本

DNN平台版本6.0.0到9.3.2

确认

DNN社区感谢以下人员识别问题并/或与我们合作帮助保护用户

• DotControl数字创意公司的罗伯特·博斯克

背景

跨站点脚本问题是指恶意用户可以在远程服务器上执行客户端脚本，而没有适当的访问或许可。这可能允许恶意用户在受影响用户的计算机上执行Javascript或其他客户端脚本。

问题摘要

在特定配置中未经身份验证的用户可以构造一个有效负载，该负载将导致存储的代币稍后由具有更高权限的用户执行

缓解因素

该问题仅在DNN平台内的非常特定的配置中才可见，利用该漏洞将需要特定的知识进行利用，并且由此产生的影响最小。

解决此问题的方法

为解决此问题，建议升级到DNN平台9.4.1及以上版本。

受影响的版本

DNN平台版本7.0.0到9.3.2

背景

DNN使用提供者模型来允许平台用户利用各种扩展点。随着新功能的实现，旧的提供者可能会保留，即使没有使用。

问题摘要

恶意用户可能利用脚本过程利用以前的DNN分布式提供程序的文件上载功能进行攻击。上载的文件可能本质上是恶意的。

缓解因素

这个问题将只影响基于DNN的网站之前从版本7升级。X或更早的版本，使用不再受支持的较旧的提供程序。更新的安装并不容易受到攻击，但是，升级并不能降低这种风险。

修复了此问题

用户可以通过查看和删除/ providers /文件夹中未使用的提供商，或通过DNN UI的Extensions部分，在所有版本的DNN上缓解该漏洞。在删除提供程序时，必须进行备份并删除所有文件。

注意:升级不会自动解决这个问题

致谢

DNN社区希望感谢以下问题的以下内容。

• DNN4Less的杰西·哈格蒂

问题摘要

恶意用户可能会使用某些安装提供的信息来解密或计算某些密钥加密信息，这可能会导致进一步的意外访问。

缓解因素

DNN安装必须以特定的方式配置，恶意用户将需要特定的知识来利用这个问题。

修复(es)的问题

要解决该问题，您可以在撰写本文时升级到产品的最新版本——DNN平台版本9.2.2或EVOQ 9.2.2。影响版本:

• 从5.0.0到9.2.1的所有版本

确认

DNN感谢以下内容，用于识别问题和/或与我们合作帮助保护用户

• 数字边界小组的Jon Park和Jon Seigel

问题摘要

有关请求、异常或其他操作的信息记录在DNN系统中。恶意用户可以采取特定的操作以允许显示恶意内容。

缓解因素

恶意用户必须知道如何利用这种利用，并且必须诱使有限的用户子集查看信息。

修复(es)的问题

要解决此问题，您可以在撰写本文时升级到产品的最新版本——DNN平台版本9.2.2或EVOQ 9.2.2。

影响版本:

• 从5.0.0到9.2.1的所有版本

• Saurabh B。

DCNN网站使用一个特殊的模块通过活动目录支持用户身份验证。

• 使用Active Directory模块的所有版本以及9.2.0之前的任何DNN版本

• 萨贾德·普拉里(网络安全分析师)

• 9.2.0之前的所有DNN版本

• 来自Suma Soft Pvt. Ltd.的Narendra Bhati。印度浦那

• 来自Suma Soft Pvt. Ltd.的Narendra Bhati。印度浦那

• 来自Suma Soft Pvt. Ltd.的Narendra Bhati。印度浦那

• 来自Suma Soft Pvt. Ltd.的Narendra Bhati。印度浦那

• 兰斯·克莱霍恩(国防媒体活动公共网络)

背景

DNN增加了对MVC的支持。2016年净。这种支持来自微软的一个组件。

问题摘要

微软不久前发布了一个MVC漏洞修复(KB2990942)。由于DNN正在使用来自微软的MVC组件，因此需要在DNN站点中更新此组件。

缓解因素

如果攻击者说服用户点击专门设计的链接，或访问包含专门设计利用该漏洞的内容的网页，则该漏洞可以绕过安全特性。

默认情况下，DNN发行版没有任何代码使用导致此漏洞的代码。但是，如果您有第三方MVC模块，您可能会受到攻击。因此，出于安全原因，您需要将此程序集升级到5.1.20821.0。如果不升级到新版本，则需要使用此程序集替换现有程序集，并在“web.config”文件中为此新程序集添加绑定。

解决问题(s)

要解决此问题，您可以在撰写本文时升级到产品的最新版本——DNN平台9.1.1或EVOQ 9.1.1。或者你可以在装配您的网站自带的DNN 9.1.0的一个更换和添加​​必要的结合中的“web.config”文件。我们的建议是始终遵循DNN的升级路径。

影响版本:

• 从8.0.0到9.0.2的所有版本

背景

DNN安装包含一些用于演示目的的旧格式SWF (Shockwave Flash)文件。

问题摘要

恶意用户可以对包含旧SWF文件的站点发起跨站攻击。

缓解因素

恶意用户必须知道站点中存在什么类型的SWF文件以及它们在站点中的位置。然后他们必须精心设计一个特殊格式的链接来针对这个漏洞。

解决问题(s)

要解决这个问题，建议您删除站点上的所有SWF文件(*. SWF)。升级过程不会删除这些文件，需要手动删除。新安装的站点9.1.0将不会包含任何SWF文件。

影响版本:

• 从3.0.0到9.0.2的所有版本

致谢

DNN感谢以下人员识别此问题并/或与我们合作帮助保护用户:

• 丹尼尔卡里诺夫斯基

背景

DNN使用网络cookie来识别用户。

问题摘要

恶意用户可以解码其中一个cookie，并识别该用户是谁，还可能模仿其他用户，甚至向服务器上传恶意代码。

缓解因素

恶意用户必须知道这个cookie的细节以及如何解码它。然后他们必须提交精心制作的cookie来攻击这个漏洞。只有一个特定的cookie被发现是脆弱的。这个cookie很少被使用。

解决问题(s)

要解决此问题，您可以在撰写本文时升级到产品的最新版本——DNN平台9.1.1或EVOQ 9.1.1。

影响版本:

• 从5.0.0到9.1.0的所有版本

致谢：

DNN感谢以下人员识别此问题并/或与我们合作帮助保护用户:

• 惠普企业安全公司的Alvaro Muñoz (@pwntester)和Oleksandr Mirosh

背景

HTML5的新特性之一是跨文档消息传递。该功能允许脚本将消息发布到其他窗口。

问题摘要

恶意用户可以创建特定的脚本与受害者窗口进行通信，这种方式可能导致欺骗、数据盗窃、中继和其他攻击。

缓解因素

恶意用户需要知道可能受到此漏洞攻击的端点，他们需要编写特殊请求来利用此漏洞。

解决问题(s)

要解决此问题，您可以在撰写本文时升级到产品的最新版本——DNN平台9.1.1或EVOQ 9.1.1。

影响版本:

• 从8.0.0到9.1.0的所有版本

背景

DNN站点能够根据系统规则将用户重定向到不同的页面。登录体验就是一个例子，用户登录后可以被发送到特定的登录页面。

问题摘要

使用DNN的重定向功能，恶意链接可以将用户发送到当前网站之外(钓鱼)。

缓解因素

恶意用户必须知道如何制作这些恶意链接。必须诱使用户点击这些链接。这种漏洞只能通过社会策划的策略来实现，如果用户不点击钓鱼链接就不可能实现。

解决问题(s)

要解决此问题，您应该在撰写本文时升级到产品的最新版本-DNN Platform 9.1.1或EVOQ 9.1.1。

影响版本:

• 从7.0.0到9.1.0的所有版本

背景

DNN包含一个CMS组件，允许站点管理员上传某些文件到站点。

问题摘要

恶意用户可以发送特定的请求来识别一些参数，然后使用这些参数将恶意代码上传到站点，从而使他们能够控制站点(甚至是承载站点的机器)。

缓解因素

恶意用户必须知道这些端点的细节以及如何解码它们包含的信息。然后，他们必须提交精心设计的请求来针对这个漏洞。

解决问题(s)

要解决此问题，您可以在撰写本文时升级到产品的最新版本——DNN平台9.1.1或EVOQ 9.1.1。对于9.1.1以上的版本，您可以从这里下载并安装热修复http://dnn.ly/SecurityFix201701．修复和漏洞与上面链接中讨论的相同。

想了解更多细节，你可以阅读这个博客//www.koolkidzatv.com/community-blog/cid/155436/critical-security-update--june-2017

影响版本:

• 所有版本的5.2.0最多9.1.0

致谢：

DNN感谢以下人员识别此问题并/或与我们合作帮助保护用户:

• · 阮清文

背景

DNN为用户提供了一种注册网站的方式。用户可以选择填写几个配置文件属性，如姓名，姓名，配置文件图片等。其中一些配置文件属性可以在用户注册期间提供，但所有这些属性都可以在DNN的用户配置文件区域下进行更新。注册表单通常只定义了少数这样的属性。

问题摘要

由于DNN存在漏洞，匿名用户可以从DNN站点发现部分或大部分配置文件属性。

缓解因素

人们需要知道获取这些信息的确切方法。但是，不能通过此漏洞更改任何信息。

解决问题(s)

要解决此问题，建议您在撰写本文时更新到产品的最新版本-DNN Platform 9.0.2或EVOQ 9.0.2。还有一个补丁也可以安装。有关更多信息，请访问此博客：//www.koolkidzatv.com/community-blog/cid/155416/902-release-and-security-patch

影响版本:

06.02.00直到09.00.01

致谢

DNN感谢以下人员识别此问题并/或与我们合作帮助保护用户:

--克里斯托弗·哈蒙德

背景

ASP。Net推荐并提供Antiforgery令牌功能，以防止篡改web请求和防止跨站脚本攻击。DNN完全支持这一概念，并在适用的情况下实现。

问题摘要

在某些情况下，在Web API调用中可能不会检查Antiforgery检查。在这种情况下，恶意用户可能会执行XSS攻击。

缓解因素

恶意用户必须确切地知道哪些WEB API方法受到此漏洞的影响，并必须设计一个特殊的HTTP请求，允许他们执行WEB API调用来利用此漏洞。

解决问题(s)

背景

DNN提供了几个Web api来在CMS之外执行各种CMS任务。Web api可以通过指定不同级别的权限来保护，比如只限制到超级用户，限制到管理员等等。一些Web api也可以匿名访问。

问题摘要

DNN中的一些Web api没有遵守为它们指定的权限，它们可以在没有任何授权的情况下访问。这些易受攻击的api仅限于DNN的单个子系统，这对DNN的运行不是非常关键。

缓解因素

只有少数Web api受到影响。这些api能够进行非常小的系统设置更新，不会造成任何重大破坏;那就更麻烦了。为了利用这个漏洞，恶意用户必须事先知道这些端点。

解决问题(s)

影响版本:

• 09.00.00
• 08.00.04
• 08.00.03
• 08.00.02
• 08.00.01
• 08.00.00
• 07.04.02
• 07.04.01
• 07.04.00
• 07.03.04
• 07.03.03
• 07.03.02
• 07.03.01
• 07.03.00
• 07.02.02
• 07.02.01
• 07.02.00
• 07.01.02
• 07.01.01
• 07.01.00

背景

在DNN中，当用户尝试访问受限区域时，它们被重定向到具有URL中的消息的“访问被拒绝”页面。

问题摘要

恶意用户可能会创建一个到DNN网站页面的链接，点击该链接会显示一条精心制作的消息，告诉用户采取一些行动，比如拨打电话号码或向特定的电子邮件发送消息。用户可能会认为消息来自网站本身，而不是恶意用户。

缓解因素

恶意用户必须知道如何创建此链接，并迫使不知情的用户点击链接。许多电子邮件系统标记等环节的钓鱼链接，从而进一步降低的可能性。此外，所生成的消息只能显示文本。一旦这样的链接，用户点击，并以这样的DNN页面到达时，用户必须采取进一步行动心甘情愿的消息显示。

解决问题(s)

为了解决此问题，建议您在撰写本文时更新到产品的最新版本——DNN平台9.0.1或EVOQ 9.0.1。

影响版本:

• 09.00.00
• 08.00.04
• 08.00.03
• 08.00.02
• 08.00.01
• 08.00.00
• 07.04.02
• 07.04.01
• 07.04.00
• 07.03.04
• 07.03.03
• 07.03.02
• 07.03.01
• 07.03.00
• 07.02.02
• 07.02.01
• 07.02.00
• 07.01.02
• 07.01.01
• 07.01.00
• 07.00.06
• 07.00.05
• 07.00.04
• 07.00.03
• 07.00.02
• 07.00.01
• 07.00.00

致谢

DNN感谢以下人员识别此问题并/或与我们合作帮助保护用户:

背景

DNN允许多种文件操作，如上传、删除、复制等。这些操作意味着从CMS本身管理文件，而不是使用FTP之类的服务。

问题摘要

恶意用户可以生成一个特殊的HTTP请求来生成现有图像文件的多个副本。过多的文件可能导致磁盘空间问题，导致站点故障。这种攻击也可以作为匿名用户进行。需要注意的是，此漏洞仅限于图像文件。此外，它不允许未经授权上传新文件。

缓解因素

恶意用户必须知道如何创建这个HTTP请求并发送数千个这样的请求。或者，恶意用户必须诱使其他不知情的用户点击这样的链接，这通常被大多数电子邮件客户端视为钓鱼链接。

解决问题(s)

影响版本:

• 09.00.00
• 08.00.04
• 08.00.03
• 08.00.02
• 08.00.01
• 08.00.00

背景

DNN允许用户搜索DNN网站的内容。

问题摘要

在键入某些关键字以在DNN中搜索内容时，用户可能会得到一个错误页面，而不是实际的搜索结果。此问题不会暴露任何数据或导致数据损坏。

背景

DNN允许站点管理员更新站点的容器。

问题摘要

由于DNN中存在错误，具有页面编辑权限的用户可以更新站点中所有页面的容器。

缓解因素

用户必须对页面具有编辑权限。

解决问题(s)

要解决此问题，建议您在撰写本文时更新到产品的最新版本——DNN Platform 8.0.4或Evoq 8.5.0。

背景

DNN允许注册用户在网站上创建内容，用户可以在网站上创建到其他页面的链接。

问题摘要

恶意用户可能会以这样的方式创建到网站注册页面的链接，点击页面上的某个区域可能会让用户访问外部页面。

缓解因素

恶意用户应该知道如何创建此链接，并将其放置在其他用户可以看到并单击的区域。

解决问题(s)

要解决此问题，建议您在撰写本文时更新到产品的最新版本——DNN Platform 8.0.4或Evoq 8.5.0。

背景

在安装DNN时，需要使用一些文件来协调DNN的安装。

问题摘要

虽然这些文件是安装DNN所必需的，但它们是在过程完成后遗留下来的。潜在的黑客可以使用一个特别制作的URL来访问安装向导，并在某些情况下创建一个额外的主机用户。因此，需要删除这些文件以防止安全性分析。

前提条件(s)

InstallWizard的文件。必须在“网站根\安装”文件夹下存在。

解决问题(s)

为了解决此问题，建议您在撰写本文时更新到产品的最新版本——DNN Platform 8.0.3或Evoq 8.4.2。

作为临时替代方案，应删除网站文件夹\安装下的下列文件:

• DotNetNuke.install.config
• DotNetNuke.install.config.德赢体育ac米兰resources
• InstallWizard.aspx
• InstallWizard.aspx.cs
• InstallWizard.aspx.designer.cs
• UpgradeWizard.aspx
• UpgradeWizard.aspx.cs
• UpgradeWizard.aspx.designer.cs
• Install.aspx
• Install.aspx.cs
• Install.aspx.designer.cs

被破坏后建议的清理步骤

• 进入主机>主机设置页面>其他设置>部分允许的文件扩展名>，确保不允许。aspx扩展名上传
• 转到主机>超级用户帐户页面，在超级用户部分查看用户列表，以确保只列出了已知和授权的用户。删除任何未经授权的用户。
• 在站点的根文件夹和子文件夹中搜索任何扩展名为.aspx或.php的文件。您的站点可能需要一些.aspx文件。在删除之前仔细检查任何文件。
• 在web上修改SQL Server密码并更新连接字符串。配置您的DNN应用程序。只有在连接字符串中使用用户名和密码时才需要这样做。在使用可信连接时不需要它。

严重程度

至关重要的

背景

根据设计，DNN允许授权用户将某些文件类型上传到DNN的文件夹中。根据权限的不同，经过认证的用户可以上传图片、模块和皮肤扩展、文档等文件。DNN不允许上传.exe、.aspx等可执行文件。

问题摘要

该漏洞允许在不登录DNN的情况下上传文件。另外，上传的文件也可以替换现有的文件。文件只能在Portals文件夹中上传;不能在此文件夹或服务器上的任何其他地方上传。系统仍然遵循主机>主机设置>其他设置下定义的“允许文件扩展名”设置，这意味着可执行文件不能上传。

缓解因素

攻击者必须猜测DNN的内部id来上传文件到特定的位置。

版本的影响

平台8.0款

款平台8.0.1

Evoq 8.3

Evoq 8.4

解决问题(s)

为了解决此问题，建议您在撰写本文时更新到产品的最新版本——DNN Platform 8.0.2或Evoq 8.4.1。

背景

在DNN站点的一些位置，页面将基于“returnurl”查询字符串参数进行重定向。

问题摘要

如果不能清理“returnurl”查询字符串参数，可能意味着发生了开放重定向或跨站点脚本(XSS)问题。

缓解因素

N/A

解决问题(s)

要解决这个问题，建议您更新DNN的最新版本（8.0.1在写作时）。

确认

DNN感谢以下与我们合作帮助保护用户:

• Ciaran麦克纳利

背景

启用SSL客户端重定向时，页面将重定向到http通道。

问题摘要

如果无法对URL查询字符串参数进行清理，可能会出现跨站点脚本(XSS)问题。

缓解因素

管理员必须在“站点设置”中启用SSL启用和SSL强制。并且数据库中的主机设置表中必须有值为“Y”的设置名“AUM_SSLClientRedirect”。

解决问题(s)

要解决这个问题，建议您更新DNN的最新版本（8.0.1在写作时）。

背景

用户配置文件表单上的传记字段允许输入HTML，但不允许输入JavaScript(对各种标记执行过滤)。

问题摘要

用户可以通过包含以下负载向传记添加JavaScript:。“Onclick”触发器和“prompt”命令未正确过滤，JavaScript被执行。未能清理传记内容可能意味着出现跨站点脚本（XSS）问题。

缓解因素

管理员需要更改设置，使传记公开给所有人;默认情况下，仅对管理员可见。

解决问题(s)

要解决这个问题，建议您更新DNN的最新版本（8.0.1在写作时）。

确认

DNN感谢以下与我们合作帮助保护用户:

• 无恙Boecking

背景

称为RequestVerificationToken的防伪造令牌用于DNN Web api，以帮助防止跨站请求伪造(CSRF)攻击。

问题摘要

该RequestVerificationToken根本没有被证实，所有POST请求可以顺利通过，即使该令牌不存在请求标头。故障验证防伪标记可能意味着出现CSRF问题。

缓解因素

攻击者必须让受害者的浏览器向服务器发出POST请求。

解决问题(s)

要解决这个问题，建议您更新DNN的最新版本（8.0.1在写作时）。

背景

DNN包含一个标签控制，允许内容在可点击的标签下组织。这种方法可以在DNN管理界面中看到，并且打算在定制模块开发中类似地使用。然而，这种模式也可以在管理体验之外轻松使用

问题摘要

如果不能对选项卡控件使用的内容进行消毒，可能会出现跨站点脚本(XSS)问题。

缓解因素

要执行XSS问题，必须诱导用户单击一个特殊配置的URL。默认情况下，只公开DNN管理界面的某些部分，因此通常用户必须是管理员或主机。在某些情况下，第三方模块可能会公开标签控件，这样用户就需要访问托管控件的页面

解决问题(s)

为了解决这个问题，建议您更新到DNN的最新版本(撰写本文时为7.4.2)。

确认

DNN感谢以下与我们合作帮助保护用户:

• 8月Karlstedt

背景

DNN支持设置用户注册模式的能力-包括禁用用户注册(“none”)的能力

问题摘要

如果无法重新验证网站注册设置为“none”，则意味着潜在的黑客可以绕过DNN的保护，注册“垃圾”用户账户。

缓解因素

• 新用户帐户不能通过UI创建-他们需要垃圾邮件发送者捕获页面并重用asp.net的事件验证，以解决创建用户之前重新检查逻辑的失败。
• 这仅影响使用“无”注册的网站。

解决问题(s)

为了解决这个问题，建议您更新到DNN的最新版本(撰写本文时为7.4.2)。

确认

DNN感谢以下与我们合作帮助保护用户:

• 斯科特•韦尔奇
• Eric Swanzey

可以将请求设置为允许用户确认文件的存在。代码已经更新，以确保只有标准文件夹中的图像文件才能被确认
缓解因素

N/A

背景

在安装DotNetNuke时，需要使用许多文件来协调门户的安装或升级。

问题摘要

虽然这些文件是安装/升级DNN所必需的，但在流程完成后留下它们。潜在的黑客可以使用这些文件来确定运行的dnn版本。此信息可以帮助他们到具有已知安全问题的目标版本，因此需要删除ANF以防止安全性分析。

缓解因素

N/A

解决问题(s)

要解决此问题，建议您更新到DNN的最新版本（撰写本文时为7.4.1）。

背景

DNN包含一个上传功能，允许从第三方位置上传资源。

问题摘要

为该上载提供的代码没有充分筛选有效值。一个精心设计的请求可以揭示文件的存在，这些文件通常不能通过公共的可寻址的URL

缓解因素

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为7.4.1)。

背景

在安装DotNetNuke时，需要使用一些文件来协调DNN的安装。

问题摘要

虽然这些文件是安装DNN所必需的，但它们是在过程完成后遗留下来的。潜在的黑客可以使用一个特殊的URL来访问安装向导，并在某些情况下创建一个额外的主机用户。因此，需要删除这些文件以防止安全性分析。

缓解因素

• 必须存在“installwizard.aspx/installwizard.aspx.cs”文件
• 如果可以强制加载安装向导，那么潜在的黑客必须提供有效的数据库连接详细信息。对于sql server数据库，用户必须提供服务器名和数据库。如果数据库使用sql安全，那么还必须提供有效的用户名和密码。因此，使用sql server express用户实例的站点存在最大的危险，因为不需要用户凭据，且实例名称是可预测的。

解决问题(s)

要解决此问题，建议您更新到DNN的最新版本（撰写本文时为7.4.1）。

另一种方法是删除安装/安装向导。可以手动删除Aspx和install/installwizard.aspx.cs文件。

注:建议用户安装//www.koolkidzatv.com/community-blog/cid/155214/dnn-security-analyzer因为它将自动删除这些文件，以及提供额外的安全功能。

致谢

DNN感谢以下与我们合作帮助保护用户:

马里奥斯·尼古拉德斯

缓解因素
问题出在DNN附带的一段很少使用的遗留代码中。在平台或其附带的任何模块中都没有发现这种用法。然而，在第三方模块中发现了一个用法，所以我们选择创建这个公告来让用户知道。

解决问题(s)

要解决这个问题，建议您更新到DNN平台的最新版本（7.4.0在写作时）

致谢

DNN感谢以下与我们合作帮助保护用户:

• 记者选择不透露姓名。

背景

DNN框架包含允许用户内部消息传递的代码。这段代码中的一个缺陷意味着用户权限没有得到充分评估，可能导致用户向超出预期的更多用户发送邮件。

解决问题(s)为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为7.3.3)。

致谢

DNN感谢以下与我们合作帮助保护用户:

•原报告人不希望申请信贷。

背景
DNN框架支持网站允许用户注册新账户的能力。许多用户报告说，他们的网站上出现了过多和意外的注册，然后这些新账户在他们的个人资料中添加了到其他网站的html链接。

缓解因素

• 这不会影响已禁用注册的网站。
• 启用了验证注册的网站通常不会看到这个问题，因为垃圾邮件帐户不使用真实的电子邮件地址，并且未验证用户的用户配置文件字段对正常用户是不可见的(管理员/主机可以查看配置文件)。
• 启用了私有注册的网站通常不会看到这个问题，因为网站管理员不会授权垃圾邮件帐户。

解决方案的细节

通常，我们不提供安全修复的详细信息，因为这些可能只用于帮助潜在的黑客，但在这种情况下，由于此修复程序未被预期解决100％的自动注册问题，则表示一些细节。该修复涵盖三个主要区域：

1. 在当前的Captcha对象中引入了额外的颜色和失真，使自动Captcha破解更加困难。
2. 用户配置文件上的默认传记字段从富文本框更改为新安装时使用多行文本框。这意味着内容是HTML编码的，这意味着任何HTML(比如到垃圾邮件发送者网站的链接)都被编码为纯文本。这就消除了创建垃圾邮件帐户的“价值”。
3. 在现有的Captcha控件中修复了一个错误，允许多个用户注册时重复使用一个被破解的Captcha。根据对受影响站点的IIS日志的分析，垃圾邮件发送者正在使用此漏洞同时创建大量的新帐户。解决这个问题将大大减少垃圾邮件注册。

解决问题(s)

为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为7.3.2)

致谢

DNN感谢以下与我们合作帮助保护用户:

• Hal Interactive，斯洛文尼亚，DNN合作伙伴

背景



DNN框架包含支持对用户输入进行消毒的代码。如果不能检测到某些输入是恶意的，黑客可能会使用跨站点脚本攻击来执行html/javascript。

缓解因素



潜在的黑客必须在您的站点上拥有一个有效的、经过授权的用户帐户。它们还必须诱使不同的用户点击一个既包含可信站点位置又包含恶意内容的URL。

解决问题(s)



为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为7.2.2)

致谢

DNN感谢以下与我们合作帮助保护用户:

• “匿名”

背景

DNN的框架包含跨基于Lucene的搜索代码，以支持搜索。部分代码无法对输入进行清理，可能会让黑客使用跨站点脚本攻击来执行恶意的html/javascript。

缓解因素

潜在的黑客必须诱使用户点击一个包含可信站点位置和恶意内容的URL。

解决问题(s)

为了解决此问题，建议您更新到DNN平台的最新版本(撰写本文时为7.2.0)。

背景
DNN框架包含支持客户端到服务器操作的代码，这些代码是在Microsoft Ajax发布之前添加到代码库中的。部分代码无法对输入进行清理，可能会让黑客使用跨站点脚本攻击来执行恶意的html/javascript。

缓解因素
潜在的黑客必须诱使用户点击一个包含可信站点位置和恶意内容的URL。

解决问题(s)
为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为6.2.9/7.1.1)。

致谢
DNN感谢以下与我们合作帮助保护用户:

• 萨贾德Pourali (Sajjad@securation.com）

• 纳赛尔萨利姆Al-Hadhrami

背景
DNN Framework包含代码以消毒用户输入，其中不打算HTML / JavaScript。此代码未正确检测到特定的畸形HTML，并且可能发生持久跨站点脚本（XSS）攻击的可能性。

缓解因素
潜在黑客必须在网站上拥有授权用户。

解决问题(s)
为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为6.2.9/7.1.1)。

致谢
DNN感谢以下与我们合作帮助保护用户:

• Shubham Mittal通过Secunia SVCRP报道

背景
在使用DNN框架期间，在许多情况下，重定向必须发生在操作之后(例如跨门户工作)。DNN有代码确保这些重定向总是指向有效的位置，而不是不可信的外部位置。解决了一个问题，即特定URL可能导致重定向到外部位置——安全术语称为“钓鱼”攻击。

缓解因素
潜在的黑客必须诱使用户单击一个URL，该URL既包含受信任站点的位置，也包含指向不受信任站点的重定向。

解决问题(s)
为了解决这个问题，建议您更新到DNN平台的最新版本(撰写本文时为6.2.9/7.1.1)。

致谢
DNN感谢以下与我们合作帮助保护用户:

• ProCheckUp Ltd的Amir Azam (www.procheckup.com）

DotNetNuke 7.0引入了对客户端通过服务框架请求上传的丰富支持。处理此问题的代码支持选择文件夹，但无法重新验证这些权限。

缓解因素

• 用户必须仍然有上传文件的权利，他们只能更改预定的文件夹。所有其他检查(如扩展检查)都按照预期进行

影响DotNetNuke的版本

• 7.0.0及以上

未受感染的版本:

• 7.0.0之前

当使用多种语言运行时，标志选择器是可用的。这反映了页面地址与不同的文化的可用性，但未能删除任何潜在的html/javascript注入。

缓解因素

• 站点必须有一种以上的语言启用
• 站点必须使用核心语言皮肤对象

影响DotNetNuke的版本

• 所有

未受感染的版本:

• N/A

我们被提醒，可以添加一个特定的标签，允许站点重定向。虽然这个标签的W3C规范声明，除非它在文档的HEAD中，否则它不会工作，但测试发现，它在许多主要浏览器的BODY中工作。虽然不是DotNetNuke的问题，但我们选择添加一个额外的过滤器来保护用户。

缓解因素

• Internet Explorer来释放8将不允许在人体这个标记之前。
• 其他浏览器可能会或可能不会允许它。

影响DotNetNuke的版本

• 所有版本

未受感染的版本:

• N/A

该功能为任何新的配置文件图像的高度和宽度创建一个新文件-如果有足够的请求，可能存在所有可用的磁盘空间可能被消耗，导致网站不能像预期的那样运行。

缓解因素

N/A

影响DotNetNuke的版本

• 6.2.1-6.2.5
• 7.0.0

未受感染的版本:

• 6.2.1之前
• 6.2.6及以上
• 7.0.1及以上

此模块不能正确地防止某些可能导致数据泄露的输入。

缓解因素

• N/A

影响DotNetNuke的版本

• 所有

未受感染的版本:

• 6.2.6及以上
• 7.0.1及以上

许多浏览器错误地实现了特定的HTML标记，这违反了官方的W3C标准。可以使用此标记将对某些文件的请求重定向到另一个站点。虽然这不是DotNetNuke的问题，但我们已经选择添加防御代码来缓解这一问题。

缓解因素

• 潜在的黑客必须能够访问HTML模块编辑器实例
• 用户必须使用不正确地实现前面讨论的行为的浏览器

要添加或编辑模块标题，用户必须具有页面编辑器或模块编辑器权限。由于这些权限可以委托给非管理员/主机用户，这些不太受信任的用户可以更新模块标题，以潜在地包含html或javascript，从而导致交叉脚本注入，

缓解因素

• 用户必须具有模块或页面编辑权限

影响DotNetNuke的版本

• 所有

未受感染的版本:

• 6.2.5

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为6.2.5)

当输入列表项时，名称和值被视为文本，而不是编码以防止潜在的脚本/html注入。

缓解因素

• 用户必须有权访问列表功能-默认情况下，只有管理员和主机用户才能访问此模块

影响DotNetNuke的版本

• 所有

未受感染的版本:

• 6.2.5

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为6.2.5)

DotNetNuke用户和配置文件属性字段支持扩展的可见性属性，以确定字段是否对所有人可用，成员，朋友/追随者或只有管理员。成员目录未能对一些字段应用这些检查。

缓解因素

• 用户必须有访问成员目录模块的权限
• 成员目录模块必须对所有(包括匿名)用户可用

影响DotNetNuke的版本

• 6.2.0-6.2.4

未受感染的版本:

• pre 6.2.0
• 6.2.5及以上

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为6.2.5)

该函数无法验证非法值，并可能被滥用来加载无效文件。

缓解因素

N/A

影响DotNetNuke的版本

• 6.2.1-6.2.4

未受感染的版本:

• 6.2.1之前
• 6.2.5及以上

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为6.2.5)

填充文件夹列表的数据库操作无法区分“拒绝”和“允许”文件夹，可能会暴露用户没有访问权限的文件夹名称。

缓解因素

这个问题只允许确认文件夹的存在，而不允许用户上传到该文件夹(在允许写入文件夹之前进行进一步检查)。此外，这只影响在文件夹级别使用“拒绝”权限的安装

可以使用特制的URL直接加载模块，并且由于逻辑中的缺陷，此时模块权限未正确加载，而是应用页面权限。

缓解因素

这个问题只影响那些模块权限比它们所在的页面权限更受限制的站点。这主要影响页面对所有人可见的站点，而单个模块只对受限制的组可见。

lists模块没有正确地清理列表/子列表的名称——这可能会导致反射跨站点脚本(XSS)问题。

缓解因素

网站管理员/主机的用户将不得不被诱导点击一个链接到他们的网站包含了XSS代码上。这XSS不是存储，而是反映为请求的一部分 - 除了DotNetNuke的有一些防御性的代码块，以防止常见的XSS攻击的目标

Journal模块允许用户发布一个链接到他们之前上传的图片。通过拦截和替换请求，可以向图像添加额外的javascript并进行渲染。代码已经更新，以验证和删除此类请求。

缓解因素

• 日志模块必须安装
• 网站必须允许用户向其他用户发布日志

在6.0中，DotNetNuke引入了文件夹提供程序作为一种抽象来支持替代的文件存储，取代了现有的文件系统代码。但是，在一个函数中没有检查文件扩展名，这允许用户将文件重命名为门户不允许的扩展名。

缓解因素

用户需要访问文件管理器和相关权限——默认情况下，此功能仅对门户管理员和主机(超级用户)可用。

影响DotNetNuke的版本

• 6.0.0-6.1.3

未受感染的版本:

• 6.0.0之前的版本

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为6.1.4)

致谢

NGSSecure的Mark Litchfield

布兰登·海恩斯

安全策略

点击在这里阅读更多有关DotNetnuke安全政策的细节

一个潜在的黑客可能会精心制作一个特定的URL，这会导致跨站点脚本攻击污染模态弹出窗口的javascript。

缓解因素

• 用户必须单击包含javascript注入的URL，然后立即单击模式弹出链接。
• DotNetNuke包含针对访问用户认证cookie的跨站点脚本攻击的保护。

影响DotNetNuke的版本

• 6.0.0-6.0.2

未受感染的版本:

• 6.0.0之前的版本
• 6.1.0和更高的

解决问题(s)

要解决这个问题，建议您升级到6.1.0或更高版本——理想情况下升级到DotNetNuke的最新版本(撰写本文时为/6.1.3)。

由于这两个函数都使用了一个公共页面，因此代码会检查用户权限和适当的重定向。然而，代码中的缺陷意味着潜在黑客可以停止重定向，并获得对门户管理员和主机用户可用的功能的访问权。然后，他们可以使用这些用户创建新用户、删除用户，并为这些用户编辑现有用户和角色。

缓解因素

N/A

影响DotNetNuke的版本

• 所有

未受感染的版本:

• N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.6.7/6.1.3)

该函数使用直接的文件系统方法来检查这些文件是否存在，而不是DotNetNuke API，因此它可以允许存在一个未映射扩展名的文件，例如.resources或.config文件。德赢体育ac米兰已经添加了代码，以确保只能使用图像类型。

缓解因素

此问题仅允许确认文件的存在，不允许读取或更改文件。

影响DotNetNuke的版本

• 6.1.2 0 -

未受感染的版本:

• 6.0.0之前的版本

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本（撰写本文时为6.1.3）

如果启用了演示门户，并且使用了错误的用户名/密码，那么页面将重新加载，并帮助修复错误的详细信息，从而呈现输入的详细信息。这个页面可以缓存在浏览器internet临时文件,和呈现的密码可能已经接近实际的密码(例如一个错字等“pssword”),黑客与物理访问一台机器可以访问缓存页面和获得帮助猜测密码。

缓解因素

• 必须启用演示门户
• 新用户必须在注册时使用了无效的用户名/密码组合
• 潜在的黑客必须对用户的机器有物理访问权限，才能检索浏览器的临时互联网文件(如果没有清除的话)

影响DotNetNuke的版本

• 所有

未受感染的版本:

• N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.6.6/6.1.2)

如果在初始安装过程中，网站没有正确的文件系统权限来安装，则抛出异常。此异常包含帮助诊断错误的路径。理论上，知道网站的驱动器和文件夹对潜在的黑客来说是有用的信息，所以这已经被删除了。

缓解因素

这个问题更多的是理论，而不是实际的，因为即使查看了路径细节，网站没有足够的权限，黑客可以访问。另外，路径很容易被猜出来，例如c:\inetpub\dotnetnuke，并且没有什么价值。

影响DotNetNuke的版本

• 所有

未受感染的版本:

• N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.6.6/6.1.2)

编辑器的telerik实现将自动删除javascript，以尝试并确保不能发生跨站点脚本(XSS)。但是它并没有覆盖所有的XSS变体，所以添加了额外的过滤器来捕获这些尝试。

这个问题通常被评级为“低”，但从5.5.0版本开始，DotNetNuke已经提供了一个消息组件，对所有用户都可用。因为这可以用来创建一个XSS，并且这个XSS是持久的，所以这个问题被提升为一个“媒介”问题。

还添加了一些额外的代码来编码消息编辑器中的其他字段。

缓解因素

5.5.0之前的版本没有访问消息组件的权限，所以黑客需要访问(和编辑权限)html模块来执行它。

站点可以通过删除消息传递组件来防止这个问题。

不允许公开/验证注册的网站也不太可能有未知用户访问这个易受攻击的组件

模块权限检查中的逻辑缺陷可能允许潜在的黑客使用一个精心制作的url来升级他们的权限，超出模块编辑权限。

缓解因素

用户必须有一个有效的帐户，并且必须被授予至少一个模块的编辑模块权限。

如果用户使用与现有帐户相同的用户名/密码组合重新注册，则不会将其删除。如果网站所有者打算永久阻止该用户访问，他们应该使用“硬删除”功能或使用未经授权的复选框，但在某些情况下，网站可能不知道“软删除”功能，这将允许不受欢迎的用户重新创建他们的帐户

缓解因素

用户必须有一个有效的帐户，并且必须知道用户名/密码组合。

DotNetNuke有许多向用户和管理员公开的用户管理功能。虽然有代码来验证用户角色和权限，以确定向用户显示哪些函数，但可以编写绕过这些保护并执行管理函数的请求。

缓解因素

N/A

如果输入的用户名/详细信息不正确，则重新加载“帮助”页以修复详细信息。由于此页面可以缓存在浏览器的临时internet文件中，并且呈现的密码可能与实际密码很接近（例如，输入错误，如“pssword”），因此可以物理访问计算机的黑客可以访问缓存的页面，并获得猜测密码的帮助。

缓解因素

N/A

可以为此控件精心编制请求，以允许仅具有文件权限的用户上载皮肤或容器。由于这两个扩展都支持可以包含可执行代码的文件类型，这将允许用户上载危险的文件。

缓解因素

用户可能有一个有效的帐户登录和必须有权限上传文件

如果用户具有模块的编辑权限，则此错误授予他们管理模块的权限，允许他们访问所有权限并根据需要更改权限。

缓解因素

用户可能有一个有效的帐户登录，并必须有编辑页面或模块的权限。

引入了一个逻辑错误，这意味着拥有“编辑”权限的用户也能够访问模块设置。一旦模块设置被访问，用户就可以授予自己额外的粒度权限。

缓解因素

这只影响用户被授予“编辑”权限的网站，即单个用户管理所有内容的网站不受影响。

验证代码中糟糕的设计模式意味着，潜在的黑客可能通过没有主机权限的用户访问安装和卸载功能。一旦访问了这些功能，就可以卸载或安装模块。虽然模块会由于用户文件权限而无法完全安装，但可以访问失败的安装并因此运行代码。

缓解因素

视图状态加密的站点将被保护以防止访问失败的用户上传。

在正确编码错误消息以防止跨站脚本攻击的同时，错误页面假设由asp.net框架返回的值是安全的。潜在的黑客可能会生成一个包含无效viewstate值的自定义URL，该URL由XSS攻击构成。如果用户随后被骗点击该链接，就会发生反射性XSS问题

缓解因素

用户必须被骗去点击一个包含无效视图状态的链接。此外，DotNetNuke还包含了一些防止跨站脚本问题的保护措施，包括使用HTTPOnly属性来阻止XSS代码访问用户cookie。

如果站点没有执行安装/升级的足够权限，则会抛出HTTP 403状态，并生成自定义权限页面。此页面用于标识操作系统版本，以帮助用户诊断缺少哪些权限。然而，这些信息对黑客也有潜在的帮助，所以操作系统识别功能被删除了。

缓解因素

N/A
注意:虽然不是一种缓解，但识别一个网站的操作系统是一个微不足道的操作，有许多网站/工具提供的工具可以精确探测和识别操作系统。因此，这个函数没有什么附加价值，但它的删除符合最佳实践。

从“忘记密码”实用程序返回的消息过于详细，可能被用来识别用户帐户的存在。

缓解因素

这只影响使用忘记密码实用程序的站点。如果身份验证提供者不支持此功能，或者在web中将enablePasswordRetrieval设置为false。配置，无需操作。

虽然大多数配置文件属性编码输出，一些包含HTML，不能这样做。在这些配置文件属性中添加了一个额外的过滤器，以删除潜在的XSS问题。

缓解因素

这只影响显示richtext配置文件属性的站点。用户配置文件模块支持模板，因此这些属性是可选的。

可能会对联合处理程序发出无效请求，该处理程序将在超时前消耗资源来搜索相关数据。德赢体育ac米兰如果发送的请求足够多，那么资源就会被消耗，最终导致耗尽，即“拒绝服务”攻击德赢体育ac米兰

缓解因素

无效请求的数量取决于许多因素，包括DotNetNuke网站的大小及其网络服务器和数据库服务器的容量。

如果在安装/升级过程中发生错误，则将异常详细信息写入日志文件。这些文件中的信息有可能对潜在的黑客有用。

此外，日志文件的存在对黑客在试图分析应用程序以确定其版本时很有帮助。

缓解因素

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.4.3)。

另外用户可以阻止用户访问通过将下面他们的web.config中的HttpHandler的部分日志文件。

DotNetNuke包含多个保护层，以确保一个用户不能像另一个用户那样执行操作。这些措施包括对数据进行编码和加密，以确保数据不被篡改。此外，存在用于在回发上维护数据完整性的代码。但是，如果站点允许新用户注册，这些用户可以访问所有用户共享的许多公共功能。然后，他们可以捕获一些特定于站点的数据完整性值，并通过CSRF攻击使用这些值，通过这些公共功能为其他用户更改数据。

缓解因素

1.如果网站不支持公开的或经过验证的注册，黑客就不能创建一个用户来获得复制数据完整性值的访问权。

2.为了让CSRF针对不同的用户工作，它需要用户登录—默认情况下，DotNetNuke不使用持久cookie，所以不会总是这样。注意，有一个主机设置禁用当前cookie(“记住我”)。

3.必须诱骗用户访问执行CSRF的另一个站点上的页面。

用户消息传递模块的代码被附加到(现在是遗留的)Mail。发送功能，意味着邮件被发送到消息存储，而不是总是通过电子邮件发送。用户消息存储被锁定在电子邮件地址之外，这意味着潜在的黑客可以冒充另一个用户接收他们的电子邮件。

缓解因素

1.用户消息模块仅对登录的用户可用。如果您的站点包含一组受控制的用户，即不允许公开或验证注册，则此问题将大大缓解。在一个站点只有一个用户的情况下，问题显然是不存在的。

2.此邮件功能将传递给第一个结果，该结果可能是正确的用户，也可能不是正确的用户。根据用户配置，邮件可能总是会发送给正确的用户。

用户配置文件属性的代码有一个错误，即未经身份验证的用户可以在某些配置下访问仅限成员的属性。

缓解因素

如果所有配置文件属性都设置为仅成员或管理，则不会暴露仅成员配置文件属性。

目前配置文件属性自动从数据中剥离危险的XSS字符。此外，它们还支持正则表达式以允许站点配置允许的字符。为了符合安全最佳实践，我们添加了额外的html编码，以确保无法输出危险的html。

缓解因素

1.配置文件属性包含对通过正则表达式匹配验证数据的支持。一个站点可以配置这些，以确保危险值不会溜走。

2.用户配置文件功能是完全模板化的，网站可以配置它来最小化或消除潜在的问题。

3.核心已经实现了HttpOnly cookie来阻止可能窃取身份验证cookie的XSS攻击。

用户消息传递模块的代码不会对所有输入的文本进行消毒，这意味着可能生成包含脚本或html漏洞的消息。

缓解因素

用户消息传递模块仅对已登录的用户可用。如果你的网站包含一组受控制的用户，即不允许公开或验证注册，那么这个问题就大大减轻了。在网站只有一个用户的情况下，这个问题显然是不存在的。

安装向导有代码，评估数据库连接字符串，如果无法进行连接，则提供错误详细信息。在罕见的情况下，如没有可用的SQL Server，可以调用向导并导航到​​检查连接的屏幕。一旦连接失败，就会显示SQL异常详细信息，该详细信息可以包含敏感信息，例如正在尝试连接的数据库名称或用户名。

虽然这个问题可能会泄露不容易利用的有价值的信息，需要第三方软件不执行或完全拒绝服务攻击导致系统崩溃，这个问题被评为低。

缓解因素

此问题仅在数据库不可用的情况下才会出现。

同时系统消息通常是无害的,只是提醒用户,如果他们的个人资料已经更新(如由管理员)或如果他们已经被添加到一个安全角色,有很多的系统消息可以包含敏感数据,特别是密码提示包含数据,用户不希望存储在明文

缓解因素

N/A

影响DotNetNuke的版本

5.3.0——5.3.1

未受感染的版本:

其他所有人

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(编写本文时为5.4.0)。请注意，如果您一直在运行5.3.0或5.3.1，您可能已经有想要清除的消息。升级到5.4.0不会自动删除这些消息，因为可能会有许多来自门户管理员的合法消息。如果您认为没有希望保留的消息，那么可以使用类似于以下查询删除门户管理员发送的所有消息:

删除从[dbo]．(Messaging_Messages)在哪里(FromUserID)在（选择administratorid从门户网站）

如果您希望首先查看消息集，那么类似于此的查询将允许您查看消息并确定要删除哪些消息

＊从(dbo)．(Messaging_Messages)在哪里(FromUserID)在（选择administratorid从门户网站）

选择

DotNetNuke有一个搜索功能，可以重定向到自定义的结果页面。

问题摘要

虽然搜索功能过滤危险的脚本，最近添加的代码显示搜索条件，这未能过滤。这段代码过滤了常见的XSS问题，发现了一个变体可以绕过过滤器，所以添加了额外的保护

缓解因素

可以绕过过滤器的表达式仅在浏览器的一小部分中可用，即Netscape Navigator 8.1和Firefox 2.x。

为了防止试图使用无效URL的攻击，用户可以安装免费的Microsoft URLScan实用程序(http://www.iis.net/expand/UrlScan）.这是一个推荐的安装，因为它提供了许多其他非dotnetnuke特定的基于URL的问题的保护。

影响DotNetNuke的版本

5.0.0——5.2.3

未受感染的版本:

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.3.0)。

致谢

安全策略

点击在这里阅读有关DotNetNuke安全策略的更多详细信息

DotNetNuke支持在一个网站中运行多个门户的概念(例如:www.mysite.com）.这些门户可以采用“子门户”或主门户(例如mysite.com/child)或“父门户”(例如parent.mysite.com)的形式。由于每个门户都是唯一的，如果用户在门户之间移动，则会自动过期并重新生成其权限——这意味着一个门户上的管理员不会自动成为另一个门户上的管理员。

问题摘要

在用户角色过期的情况下，会打开一个窗口，允许在一个门户上拥有权限的用户在另一个门户上获得这些权限。

缓解因素

在这一问题上有一些实质性的缓解措施:

• 这个问题只可能在门户网站内的同一网站实例，即在相同副本的dotnetnuke代码在IIS。从一个实例(即IIS网站)到另一个实例的细节是不可能做到这一点的，即使是在同一服务器上。
• 权限基于安全角色，因此两个角色在两个门户上必须具有相同的详细信息。默认情况下，所有门户上只有Administrators角色具有相同的详细信息。
• 执行此操作的窗口受到自动功能的限制，该功能每分钟都会使用户安全角色过期。由于潜在的黑客需要登录到一个门户，捕获凭据，然后注销并登录到另一个门户，并使用捕获的凭据，这大大降低了暴露的风险。
• 潜在的黑客必须在两个或更多门户上拥有授权帐户，其中一个门户必须具有额外的安全角色。

安装向导具有评估数据库和程序集版本以确定是否需要升级的代码。可以以匿名用户的身份查看此信息。这些信息对试图分析应用程序的黑客可能很有用。

由于信息很重要，它仍然会显示版本是否不同，但如果它们是同步的(这是正常情况)，则不会显示版本。

缓解因素

N/A

影响DotNetNuke的版本

• 4.0 - 5.1.4

未受感染的版本:

• 所有其他版本

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.2.0)。

致谢

Dan Gilleland, Dynamic Generation Inc.

安全策略

点击在这里阅读更多有关DotNetnuke安全政策的细节

虽然搜索功能过滤危险的脚本，最近添加的代码显示搜索条件，这未能过滤。该代码已被重构，以过滤输入，以保证跨站点脚本攻击，就不会发生。

缓解因素

为了防止试图使用无效URL的攻击，用户可以安装免费的Microsoft URLScan实用程序(https://www.iis.net/downloads/microsoft/urlscan）.这是一个推荐的安装，因为它提供了许多其他非dotnetnuke特定的基于URL的问题的保护。

影响DotNetNuke的版本

4.8 - 5.1.4

未受感染的版本:

N/A

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为5.2.0)。

致谢

Scott Bell，安全评估网站的安全顾问

背景

为了支持通过Language皮肤对象在语言之间进行切换，皮肤对象将呈现现有的页面路径以及相关的国家标志和语言令牌。它还支持提供可替换令牌的能力。

问题摘要

语言皮肤对象未能对新生成的路径进行编码，这意味着黑客可以注入html/script来执行跨站点脚本攻击。

缓解因素

只有安装了多种语言包并使用语言皮肤对象的DotNetNuke网站才会有这个缺陷。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.5/5.1.2)

致谢

Leo Lin（Wisedata.com.tw）

背景

DotNetNuke ClientAPI是客户端和服务器代码的组合，允许开发人员创建丰富的客户端体验。它的使用早于许多更现代的Ajax库。

问题摘要

在许多地方，ClientAPI没有对传递给它的数据内容进行编码，而是将其回显给客户机。这种未经验证的输入可能导致html和脚本注入，比如跨站点脚本。

缓解因素

N/A

解决问题(s)

要解决此问题，建议您在撰写本文时更新到DotNetnuke的最新版本之一——4.9.5或5.1.2。

注意：虽然4.9.5对此问题进行了修复，但建议站点管理员使用5.1.2版本，该版本包含额外的防御性编码，以加强客户端API以应对未来可能出现的问题。

致谢

• 信息安全顾问Cengiz Han Sahin。
• 蒂姆·麦卡利斯特

背景

DotNetNuke的具有处理显示信息的用户自定义的errorPage。

问题摘要

错误页面包含当前运行版本的详细信息。这些信息对试图分析应用程序的黑客可能很有用。

缓解因素

N/A

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.4)。

致谢

N/A

背景

尽管DotNetNuke的安装如果发生错误，因为自定义错误处理系统可能不到位重定向执行一个错误处理页面。

问题摘要

错误处理页可选地读入可能包含额外错误信息的querystring参数。虽然这个参数通常是编码的，但可以使用一个无效的标记来绕过过滤器，潜在地将未编码的内容回显到屏幕上，并可能导致脚本或html注入问题。

缓解因素

N/A

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.4)。

致谢

本·霍克斯-横向保安(www.lateralsecurity.com）

背景

为了支持贝宝IPN功能，DotNetNuke发布信息，并从贝宝网络服务接收状态信息。为此，它使用名称/值对作为请求的一部分，该请求被回显到表单action属性，以确保任何操作都提交到正确的页面。

问题摘要

可以修改名称/值对并注入html/脚本，从而允许黑客执行跨站点脚本攻击。

缓解因素

如果你的网站不使用paypal功能，你可以删除或重命名(到一个非aspx扩展)的网站\admin\销售\paypalipn.aspx文件

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本（撰写本文时为4.9.3）

致谢

N/A

背景

DotNetNuke使用角色成员关系来控制对内容和模块的访问

问题摘要

存在一个问题，其中登录详细信息到DotNetNuke站点的用户可以在其用户帐户中添加其他角色。已添加代码以停止发生这种情况。

缓解因素

此漏洞只能被网站上具有有效用户名/密码组合的用户利用。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.1)。

致谢

N/A

背景

安装DotNetNuke门户时，如果在第一次访问门户的链接上显示版本号。

问题摘要

在某些情况下，可以查看安装向导页面，从而允许潜在的黑客查看门户编号。这些信息对试图分析应用程序的黑客可能很有用。

缓解因素

N/A

影响DotNetNuke的版本

• 4.0 - 4.8.4
• 5.0 -注意:代码是在4.9的地方，但没有正确地合并到5.0(寒武纪)分支。这个问题在5.0.1中得到了解决

  解决问题(s)

  为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.2/5.0.1)

  致谢

  N/A

背景

DotNetNuke支持使用参数来改变当前的皮肤，允许用户预览皮肤文件，也可以根据请求动态加载函数。

问题摘要

皮肤文件基于asp.net用户控件(ascx)，但添加了额外的功能，如安全验证。由于一个弱点是验证参数，它可以直接加载现有的ascx文件，而不是加载一个皮肤文件，然后加载控件。在有限的情况下，这可能允许某些现有控制破坏安全机制，并可能导致用户获得管理或主机功能的访问权。已添加代码以关闭此身份验证盲点。

缓解因素

这个漏洞只允许加载现有的ascx文件，其中许多文件都有额外的安全检查，以确保它们不会被利用。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.0)。

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• 布兰登·海恩斯

背景

当用户登录时，当他们访问用户函数时，将使用唯一的id来确保为正确的用户执行这些函数。

问题摘要

由于验证用户身份的弱点，潜在的黑客有可能进入其他用户的账户。这意味着黑客可以模拟其他用户，或通过访问管理员或主机用户等用户执行升级攻击。

缓解因素

潜在的黑客必须在DotNetNuke门户上拥有一个有效的、经过授权的用户帐户，这样他们才能尝试访问其他用户的功能。如果您的门户网站上没有任何额外的用户(例如，用户既是管理用户又是主机用户且不存在其他用户的站点)，那么这就不是问题。如果您有其他用户，则存在用户权限升级或模拟的风险。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.9.0)。

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• 布兰登·海恩斯

背景

在安装DotNetNuke时，需要使用许多文件来协调门户的安装或升级。

问题摘要

虽然这些文件是安装/升级DotNetNuke所必需的，但它们会在过程完成后被遗留下来。潜在的黑客可以使用这些文件来确定DotNetNuke正在运行的版本。此信息可以帮助他们到具有已知安全问题的目标版本，因此需要删除ANF以防止安全性分析。

缓解因素

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.3)。

如果您无法升级到最新版本，您可以选择从/Portals/_default文件夹中删除所有*.txt文件。这将保护您的站点不受自动安全扫描仪或其他探测工具的影响，这些工具通常由恶意方使用。

致谢

p>背景

在执行安装或升级时，DotNetNuke强制卸载和重新加载应用程序，以便处理更改。

问题摘要

可以远程强制DotNetNuke运行它的安装/升级步骤。由于这会导致应用程序卸载，大量类似的请求可能会导致拒绝服务攻击(http://en.wikipedia.org/wiki/Denial-of-service_attack)，这可能导致应用程序运行缓慢或根本不响应请求。这种攻击的另一个副作用可能会导致web。配置文件将其InstallDate值更新为与正确值不同的值。

缓解因素

虽然配置文件将收到一个新的最后修改日期作为这个漏洞的结果，配置文件的内容不能被查看，下载，或任意修改。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.3)。

如果您无法升级到最新版本，您可以从安装中重命名或删除以下文件:aspx。

致谢

Tony Valenti和Joseph Ravioli

背景

在安装或升级期间，DotNetNuke按顺序运行数据库脚本，以创建数据库模式并插入各种数据。

问题摘要

远程强制DotNetNuke通过安装向导运行是可能的。这可能导致应用程序中包含的数据库脚本中的SQL命令重新执行。因为数据库脚本不是设计来重新执行的;这可能会导致安装中的数据丢失或损坏。

缓解因素

此Exploit依赖于位于DotNetnuke应用程序的特定默认安装位置中的SQL脚本。由于攻击者无法将自己的SQL脚本上传到此文件夹，因此任意SQL脚本执行的风险不是一个因素。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.3)。

如果无法升级到最新版本，您可以在安装中重命名或删除以下文件:/Install/InstallWizard。aspx。

致谢

Tony Valenti和Joseph Ravioli

背景

DotNetNuke在各种模块中使用富文本编辑器控件。该应用程序使用提供者模型，允许用户选择的控件轻松替换该功能，包括对流行的FTB和FCK编辑器控件的默认支持。这些富文本编辑器控件通常利用DotNetNuke URLControl提供一种方便的方法来为门户选择url、页面和文件。在文件区域，还可以从客户机上上传文件。一旦选定，文件将被传递给DotNetNuke API，该API处理文件的保存，包括在安全文件系统或安全数据库中存储的能力等服务。

问题摘要

UrlControl和FileSystem API的逻辑都缺少一些关键的安全验证。它假定从富文本编辑器控件传递的任何输入都是有效的，并且没有重新验证文件夹权限。此外，它的逻辑有缺陷，允许用户将文件写入到只有READ访问权限的文件夹中。黑客可以结合使用这两个缺陷，将文件上传到本应被限制的文件夹中。由于在大多数DotNetNuke门户网站的默认情况下，匿名用户可以读取“门户网站”主目录下的所有文件夹，错误的逻辑缺陷允许用户上传文件到该目录下的任何文件夹。通常作为此安全漏洞的一部分存储的文件名为ISCN.txt，只是包含了攻击的信用通知。

缓解因素

FileSystem API执行“安全”文件扩展名的验证检查。默认情况下，“安全”文件扩展名列表(在主机设置中定义)非常小，这意味着只有文本文件，jpg和gif的文件可以上传，而不是更危险的动态扩展名文件，如aspx/asp等。

注意：当此攻击的有效载荷受到支票的限制，因为它可以远程剥削对Anoymous用户，因此决定提升这个问题的评级“批判”。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.3)

致谢

Tomotoshi Sugishita (DotNetNuke日本用户组)
米切尔卖家

背景

尽管DotNetNuke的安装如果发生错误，因为自定义错误处理系统可能不到位重定向执行一个错误处理页面。

问题摘要

错误处理页可选地读入可能包含额外错误信息的querystring参数。这个参数在回显到屏幕之前没有被编码，可能会导致脚本或html注入问题。

缓解因素

N/A

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.4)

致谢

吉米·萨默斯，南方进步公司

背景

为了支持URL重写，DotNetNuke确定页面的当前路径，并将其回传给表单动作属性，以确保任何动作都提交到正确的页面。

问题摘要

可以通过使用无效的URL来避免现有的URL过滤代码。这些URL可以用来注入html/脚本，从而允许黑客执行跨站点脚本攻击。

缓解因素

为了防止试图使用无效URL的攻击，用户可以安装免费的Microsoft URLScan实用程序(http://www.microsoft.com/technet/security/tools/urlscan.mspx）.这是一个推荐的安装，因为它提供了许多其他非dotnetnuke特定的基于URL的问题的保护。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.4)

致谢

AmnPardaz安全研究和渗透测试小组

背景

为了支持通过Language皮肤对象在语言之间进行切换，皮肤对象将呈现现有的页面路径以及相关的国家标志和语言令牌。

问题摘要

语言皮肤对象未能对新生成的路径进行编码，这意味着黑客可以注入html/script来执行跨站点脚本攻击。

缓解因素

只有安装了多种语言包并使用语言皮肤对象的DotNetNuke网站才会有这个缺陷。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.4)

致谢

Mauricio马尔克斯

• 汤姆·沃尔特斯

背景

对于DotNetNuke的3.0版本，我们添加了一个文件管理器模块。默认情况下，此模块仅可供管理员或主机用户访问。代码中存在允许管理员用户上载任意文件的问题。通过这种访问级别，管理员用户可以获得对门户的完全主机访问权限。

问题摘要

文件管理器组件有一个问题，用户可能上传的文件类型与允许的文件类型列表不匹配。此漏洞允许Admin用户上传一个文件，然后授予他们对整个门户的访问权限，即管理员用户帐户权限升级。

缓解因素

• 用户必须具有文件管理器的访问权限。
• 默认情况下，此问题仅影响Admin用户。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.2)

致谢

名Kermani

背景

在DotNetNuke 3.0版本中，安全模型被更改为使用validationkey加密表单认证cookie和视图状态。在某些罕见的情况下，在安装/升级期间可能不会更新此密钥，而此信息可能使潜在的黑客能够以任何用户(包括主机和管理帐户)的身份访问门户。

问题摘要

在安装新版本或升级3.0之前的任何版本期间，DotNetNuke会自动生成唯一的validationkey，以保护用户表单身份验证cookie和viewstate的安全。如果未更新此值，“已知”值可用于访问门户。要安装DotNetNuke，用户必须具有根文件夹的写入权限。要更新validationkey失败，同一用户必须更新此文件失败，即没有写入权限，或者文件设置为“只读”。

缓解因素

此问题只会在相当罕见的权限集下显示。

解决问题(s)

1.要解决此问题，建议您更新到DotNetNuke的最新版本（撰写本文时为4.8.2）

2.检查你的网络。配置文件。如果validationkey的值没有设置为“F9D1A2D3E1D3E2F7B3D9F90FF3965ABDAC304902”，那么您的门户不会遇到这个问题。

致谢

布莱恩霍利菲尔德-哥谭镇数字科学

背景

自从DotNetNuke 3.0以来，在管理界面中就有了皮肤管理选项。皮肤管理器主要用于将新皮肤应用到某个部位;但是，设计人员也可以使用它来使用Parse功能开发新的皮肤。

问题摘要

发现一个问题，管理员可以上载静态文件，然后将其转换为动态脚本。这将允许服务器端执行应用程序逻辑。

缓解因素

• 主机用户必须已经将HTM或HTML文件类型添加到默认的文件上传扩展名中
• 用户必须具有文件管理器的访问权限。
• 默认情况下，此问题仅影响Admin用户。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.8.2)

致谢

Timo Breumelhof

背景

尽管DotNetNuke的安装如果发生错误，因为自定义错误处理系统可能不到位重定向执行一个错误处理页面。

问题摘要

错误处理页可选地读入可能包含额外错误信息的querystring参数。这个参数在回显到屏幕之前没有被编码，可能会导致脚本或html注入问题。

缓解因素

N/A

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.7)。

背景

HTML/Text模块是默认安装的核心模块之一，提供了向页面添加自定义HTML的简单方法。

问题摘要

该模块存在身份验证盲点，可能允许恶意用户更新他们没有权限管理的内容。

缓解因素

如果门户不使用text/html模块，则不会受到影响。

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.7)。

背景

DotNetnuke允许管理员使用一个标准的登录页面或创建他们自己的自定义登录页面。当未经身份验证的用户到达站点并试图访问受保护的资源时，他们将被重定向到正确的登录页面。作为此过程的一部分，将记住对受保护资源的原始请求，以便一旦用户成功登录，就可以将其重定向到最初请求的资源。

问题摘要

受保护资源的返回路径使用QueryString来存储URL。此值是一个隐式信任的URL，因此黑客可以将URL发布到已包含此QueryString参数的站点。在这种情况下，黑客可以将其指向不受信任的来源。已添加修复程序以确保仅支持网站的路径。

有关“网络钓鱼”的进一步资料，请参阅在这里．

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.5.4)。

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• Niel Nielsen的FortConsult A / S
• 格雷姆·尼尔森安全顾问光环软件安全

背景

DotNetNuke包含核心代码(FileServerHandler)来管理可以链接到的项目，比如文件和URL。此代码允许应用用户权限并记录资源上的点击次数。

问题摘要

虽然FileServerHandler验证文件的用户权限，但它隐式地信任URL的权限，因此黑客可能会将一个URL发布到您的站点，并将其重定向到另一个站点。因为基础url是你的网站，那么它可能会欺骗用户，让他们相信这个url已经被你的网站批准了，例如下面的url

http://www.dotnetnuke.com/linkclick.aspx?link=http://untrustedwebsite.com

会向用户暗示，dotnetnuke.com信任该网站，而实际上它并不是一个已发布的链接。

注意:为了修复这个问题，处理程序现在检查数据库，看看链接是否存在。如果该链接在数据库中不存在，则假定它是一个钓鱼请求，将不会重定向。

有关“网络钓鱼”的进一步资料，请参阅在这里．

解决问题(s)

要解决此问题，建议您更新到DotNetNuke的最新版本(撰写本文时为4.5)。

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• WEBPC的安东尼·斯莱特

背景

在较早的版本中，DotNetNuke支持匿名供应商注册，这样就可以自动添加广告客户，而无需认证。这个功能被删除了，但是支持匿名供应商的代码没有被删除。

问题摘要

供应商注册的控制类型仍然支持匿名访问，如果用户可以确定正确的访问url，他们可以获得管理供应商详细信息的访问权。

缓解因素

用户必须已启用横幅广告，并且必须安装一个或多个横幅模块实例，才能在站点上反映更改。

解决问题(s)

备选方案1:为了修复这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为3.3.7/4.3.7)。这是推荐的修复方法。

备选方案2:以主机用户登录，进入主机->sql菜单，将以下脚本粘贴到文本框中，并勾选“作为脚本运行”复选框

/*修复供应商管理的安全问题*/
{databaseOwner} {objectQualifier} ModuleControls更新
set ControlType = 1
where ControlSrc = 'Admin/Vendors/EditVendors.ascx'

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• Cestus网站的Peter Schotman说。

背景

在DotNetNuke的3.3/4.3版本中，成员/角色/提供者组件进行了重大修改，以允许更好的控制粒度，并允许我们进行一些增强。

问题摘要

在重写代码以延长成型件的过程中，引入了一个问题，即用户必须在角色管理页面中插入JavaScript的能力。此漏洞允许潜在黑客以使得能够访问的功能仅用于管理员/超级用户即用户帐户的权限升级。

缓解因素

用户必须有权限编辑用户帐户的详细信息，以注入所需的javascript。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为3.3.6/4.3.6)

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• Risbologry Kirby的David Kirby信息系统有限公司

背景

当用户试图访问门户功能时，我们努力在提供信息性消息和不向试图分析应用程序的人透露不必要的细节之间取得平衡。

问题摘要

有两个领域已被修改，以解决提供更多必要信息的问题。

1. 当试图访问一个页面，用户没有权限，用户正确重定向到登录页面。但是，页面标题保留了最初请求页面，该页面已被确定为不必要的信息泄露的名称。
2. 当登录时，如果用户试图访问另一个用户配置文件，他们将被正确地重定向到一个失败页面。但是，此时用户可以通过错误消息判断他们试图访问的用户帐户是标准用户还是超级用户。
   

缓解因素

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为3.3.6/4.3.6)

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• Risborrow信息系统有限公司的Christiaan Mellars

背景

为了确保页面按预期工作，页面名称和任何相关参数都被复制到每个页面请求的表单动作标记中。

问题摘要

大多数情况下，参数用于确定要执行哪些代码，但在少数情况下，特别是错误参数，querystring的内容会直接回显到屏幕上。直到最近，为了防止潜在的跨站点脚本攻击，querystring参数还只能筛选javascript，但也可以将任意HTML注入到页面中，例如页面重定向到IFRAME。这个漏洞现在已经在3.3.5/4.3.5被关闭。

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为3.3.5/4.3.5)

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• 罗伯特·萨吉·利维拉尼和安东尼奥·斯佩拉安全形状

背景

为了支持一些核心功能和模块，DotNetNuke附带了一个WYSIWYG编辑器控件，这是一个word风格的编辑器，允许用户添加和格式化html。DotNetNuke并没有将某个特定的产品硬编码为编辑器，而是使用html编辑器提供程序，允许管理员轻松地更改为其他编辑器。DotNetNuke附带的默认html编辑器使用freetextbox组件。

问题摘要

DotNetNuke作为一种安全措施，对上传的文件类型进行了限制。freetextbox组件出现了一个问题，用户可以上传DotNetNuke不允许的文件类型，从而避免了内置的过滤。这可以用作获得未经授权访问门户文件或数据的基础。

缓解因素

要受到影响，站点必须为使用编辑器组件(如text/html模块)的模块授予一个或多个用户编辑权限。此外，用户必须具有上传文件的权限。网站不为用户授予这些权限,或不使用的freetexteditor实现html编辑器提供者不容易受到这个问题如网站所有的内容只有一个管理员维护主机和门户管理员权限不会受到影响。

解决问题(s)

要解决这个问题，你可以使用以下两个选项:

选项1

将您的版本升级到3.3.3/4.3.3或更高版本——这是推荐的解决方案

选项2

使用另一种html编辑器提供程序，例如freeFCKEditor．请注意，您还必须删除现有的FTB编辑器和相关的dll，即删除HtmlEditorProviders\Ftb3HtmlEditorProvider文件夹从您的安装，并删除FreeTextBox.dll和DotNetNuke.Ftb3HtmlEditorProvider.dll从您的bin文件夹。

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• 彼得·肖特曼
• 理查德从DNN-modules

背景

对于DotNetNuke的3.3.3/4.3.3版本，成员/角色/提供者组件进行了重大的调整，以允许更好的控制粒度，并允许我们进行一些增强。

问题摘要

在重写代码以扩展Profile组件的过程中，引入了一个授权问题，允许用户(包括匿名用户)访问另一个用户概要文件。
由于此问题的严重性，无法获得进一步的细节，建议3.3.3/4.3.3的用户升级到3.3.4/4.3.4。

缓解因素

N/A

解决问题(s)

为了解决这个问题，建议您更新到DotNetNuke的最新版本(撰写本文时为3.3.4/4.3.4)

致谢

DotNetNuke感谢以下与我们合作帮助保护用户:

• 斯文德森