漏洞概述
CVE ID: CVE-2025-62802 严重等级: 中等 (CVSS评分: 4.3) 影响组件: DNN平台的CKEditor HTML编辑器提供商
漏洞详情
该漏洞存在于DNN平台(Dnn.Platform)中。其开箱即用的HTML编辑器体验存在一个安全缺陷:默认配置允许未经身份验证的用户上传文件。这为其他安全问题(例如上传恶意文件)提供了一个潜在的入口向量,而大多数实际部署场景并不需要此功能。
技术影响
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 未改变
- 机密性影响: 无
- 完整性影响: 低(可能被篡改)
- 可用性影响: 无
受影响版本
- 受影响版本: Dnn.Platform (NuGet 包) < 10.1.1
- 已修复版本: Dnn.Platform 10.1.1 及以上
解决方案与修复
新版本的开箱即用体验已默认阻止未经验证的用户访问该上传端点。如果特定实现确实需要允许未经验证的上传,实施者可以通过编辑 web.config 配置文件来移除该访问限制,从而向公众开放该端点。
相关引用
- GHSA ID: GHSA-2374-6cvw-qmx6
- NVD 链接: https://nvd.nist.gov/vuln/detail/CVE-2025-62802
- 代码修复提交: dnnsoftware/Dnn.Platform@6497d3c
安全弱点分类
该漏洞被归类为 CWE-434: 无限制上传具有危险类型的文件。该弱点指产品允许攻击者上传或传输可在产品环境中自动处理的危险类型的文件。