DNN Insufficient Access Control - Image Upload allows for Site Content Overwrite · CVE-2025-64095 · GitHub Advisory Database · GitHub
漏洞详情
依赖项警报
0
受影响的包
包管理器: nuget
包名称: DNN.PLATFORM (NuGet)
受影响的版本
< 10.1.1
已修复的版本
10.1.1
描述
摘要
默认的HTML编辑器提供程序允许未经身份验证的文件上传,并且上传的图像可以覆盖现有文件。
详细描述
未经身份验证的用户可以上传并替换现有文件,这可能导致网站被篡改(挂黑页),如果结合其他问题,还可能注入跨站脚本(XSS)攻击载荷。
参考链接
- GHSA-3m8r-w7xg-jqvw
- https://nvd.nist.gov/vuln/detail/CVE-2025-64095
时间线
- valadas 于 2025年10月28日 发布至 dnnsoftware/Dnn.Platform
- 由国家漏洞数据库(NVD)于 2025年10月28日 发布
- 由 GitHub Advisory Database 于 2025年10月29日 发布
- 于 2025年10月29日 完成审核
- 最后更新于 2025年10月29日
严重程度
严重
CVSS 总体评分: 10.0 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 已更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
EPSS 分数
35.706% (第97百分位)
此分数估计此漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点
弱点标识: CWE-434
弱点名称: 危险类型文件的无限制上传
描述: 该产品允许攻击者上传或传输危险类型的文件,这些文件可以在产品环境中自动处理。在MITRE上了解更多信息。
标识符
- CVE ID: CVE-2025-64095
- GHSA ID: GHSA-3m8r-w7xg-jqvw
源代码
dnnsoftware/Dnn.Platform
致谢
- bdukes - 修复开发者
- valadas - 修复审核者