https://blog.qife122.com/tags/dnn%E5%B9%B3%E5%8F%B0/ Recent content in DNN平台 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 02:38:35 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0%E5%9B%A0svg%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E9%9D%A2%E4%B8%B4%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9/ Wed, 10 Dec 2025 02:38:35 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0%E5%9B%A0svg%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E9%9D%A2%E4%B8%B4%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%94%BB%E5%87%BB%E9%A3%8E%E9%99%A9/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>包信息</strong></p> <ul> <li><strong>包管理器</strong>: NuGet</li> <li><strong>包名</strong>: DotNetNuke.Core</li> </ul> <p><strong>受影响版本</strong></p> <ul> <li>版本低于 10.1.1</li> </ul> <p><strong>已修复版本</strong></p> <ul> <li>版本 10.1.1</li> </ul> <h3 id="漏洞描述">漏洞描述</h3> <p><strong>摘要</strong> 对上传的SVG文件内容的净化处理未能覆盖所有可能的跨站脚本攻击场景。</p> <p><strong>详情</strong> DNN会验证SVG文件的内容，以确保其有效且不包含恶意代码。这些检查是作为修复CVE-2025-48378漏洞的一部分引入的。然而，用于确保SVG文件中没有脚本元素的检查并不全面，可能允许某些恶意的SVG文件被上传。</p> https://blog.qife122.com/p/dnn%E4%B8%A5%E9%87%8D%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%9B%BE%E5%83%8F%E4%B8%8A%E4%BC%A0%E6%9D%83%E9%99%90%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%BD%91%E7%AB%99%E5%86%85%E5%AE%B9%E8%A2%AB%E8%A6%86%E7%9B%96/ Thu, 04 Dec 2025 04:22:27 +0800 https://blog.qife122.com/p/dnn%E4%B8%A5%E9%87%8D%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%9B%BE%E5%83%8F%E4%B8%8A%E4%BC%A0%E6%9D%83%E9%99%90%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%BD%91%E7%AB%99%E5%86%85%E5%AE%B9%E8%A2%AB%E8%A6%86%E7%9B%96/ <h1 id="dnn-insufficient-access-control---image-upload-allows-for-site-content-overwrite--cve-2025-64095--github-advisory-database--github">DNN Insufficient Access Control - Image Upload allows for Site Content Overwrite · CVE-2025-64095 · GitHub Advisory Database · GitHub</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="依赖项警报">依赖项警报</h3> <p>0</p> <h3 id="受影响的包">受影响的包</h3> <p><strong>包管理器</strong>: nuget<br> <strong>包名称</strong>: DNN.PLATFORM (NuGet)</p> <h3 id="受影响的版本">受影响的版本</h3> <p>&lt; 10.1.1</p> <h3 id="已修复的版本">已修复的版本</h3> <p>10.1.1</p> <h2 id="描述">描述</h2> <h3 id="摘要">摘要</h3> <p>默认的HTML编辑器提供程序允许未经身份验证的文件上传，并且上传的图像可以覆盖现有文件。</p>