DNN访问控制不足 - 图像上传导致网站内容被覆盖

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 无
范围: 已更改
机密性: 高
完整性: 高
可用性: 高

漏洞详情

包管理器: nuget
受影响包: DNN.PLATFORM (NuGet)
受影响版本: < 10.1.1
修复版本: 10.1.1

默认HTML编辑器提供程序允许未经身份验证的文件上传，图像可以覆盖现有文件。

未经身份验证的用户可以上传并替换现有文件，这允许对网站进行篡改，并结合其他问题，注入XSS有效载荷。

严重等级: 严重
CVSS评分: 10.0/10

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

弱点: CWE-434
描述: 无限制上传危险类型文件
产品允许攻击者上传或传输危险类型的文件，这些文件可以在产品环境中自动处理。