CVE-2025-62802 on 办公AI智能小助手 https://blog.qife122.com/tags/cve-2025-62802/ Recent content in CVE-2025-62802 on 办公AI智能小助手 Hugo zh-cn qife Thu, 04 Dec 2025 14:14:52 +0800 DNN平台CKEditor插件默认允许未授权文件上传漏洞解析 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0ckeditor%E6%8F%92%E4%BB%B6%E9%BB%98%E8%AE%A4%E5%85%81%E8%AE%B8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Thu, 04 Dec 2025 14:14:52 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0ckeditor%E6%8F%92%E4%BB%B6%E9%BB%98%E8%AE%A4%E5%85%81%E8%AE%B8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h3 id="漏洞概述">漏洞概述</h3> <p><strong>CVE ID:</strong> CVE-2025-62802 <strong>严重等级:</strong> 中等 (CVSS评分: 4.3) <strong>影响组件:</strong> DNN平台的CKEditor HTML编辑器提供商</p> <h3 id="漏洞详情">漏洞详情</h3> <p>该漏洞存在于DNN平台(Dnn.Platform)中。其开箱即用的HTML编辑器体验存在一个安全缺陷:<strong>默认配置允许未经身份验证的用户上传文件</strong>。这为其他安全问题(例如上传恶意文件)提供了一个潜在的入口向量,而大多数实际部署场景并不需要此功能。</p> DNN CKEditor Provider存在未授权文件上传漏洞 https://blog.qife122.com/p/dnn-ckeditor-provider%E5%AD%98%E5%9C%A8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/ Sat, 22 Nov 2025 10:04:30 +0800 https://blog.qife122.com/p/dnn-ckeditor-provider%E5%AD%98%E5%9C%A8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E/ <h2 id="漏洞详情">漏洞详情</h2> <h3 id="包信息">包信息</h3> <ul> <li><strong>包管理器</strong>: nuget</li> <li><strong>包名称</strong>: Dnn.Platform (NuGet)</li> </ul> <h3 id="受影响版本">受影响版本</h3> <ul> <li>&lt; 10.1.1</li> </ul> <h3 id="已修复版本">已修复版本</h3> <ul> <li>10.1.1</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="摘要">摘要</h3> <p>HTML编辑的默认开箱即用体验允许未经身份验证的用户上传文件。这为其他安全问题打开了潜在的攻击向量,且在大多数实现中并不需要此功能。</p> DNN CKEditor文件上传漏洞分析:无需认证即可上传文件 https://blog.qife122.com/p/dnn-ckeditor%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%97%A0%E9%9C%80%E8%AE%A4%E8%AF%81%E5%8D%B3%E5%8F%AF%E4%B8%8A%E4%BC%A0%E6%96%87%E4%BB%B6/ Fri, 07 Nov 2025 09:55:08 +0800 https://blog.qife122.com/p/dnn-ckeditor%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%97%A0%E9%9C%80%E8%AE%A4%E8%AF%81%E5%8D%B3%E5%8F%AF%E4%B8%8A%E4%BC%A0%E6%96%87%E4%BB%B6/ <h2 id="漏洞详情">漏洞详情</h2> <p><strong>包管理器</strong>: nuget<br> <strong>受影响包</strong>: Dnn.Platform (NuGet)<br> <strong>受影响版本</strong>: &lt; 10.1.1<br> <strong>已修复版本</strong>: 10.1.1</p> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="摘要">摘要</h3> <p>DNN CKEditor Provider的默认配置允许未经身份验证的用户上传文件。这在大多数实现中是不必要的,并可能成为其他安全问题的潜在攻击向量。</p>