https://blog.qife122.com/tags/dnn/ Recent content in DNN on 办公AI智能小助手 Hugo zh-cn qife Sun, 04 Jan 2026 03:05:51 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0%E5%9B%A0svg%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E5%AF%BC%E8%87%B4%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Sun, 04 Jan 2026 03:05:51 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0%E5%9B%A0svg%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E5%AF%BC%E8%87%B4%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h3 id="漏洞概述">漏洞概述</h3> <p><strong>标识符</strong>: CVE-2025-64094 / GHSA-hmvq-8p83-cq52 <strong>严重等级</strong>: 中等 (CVSS评分: 6.4) <strong>影响范围</strong>: DotNetNuke.Core (NuGet) 版本 &lt; 10.1.1 <strong>已修复版本</strong>: 10.1.1</p> <h3 id="漏洞详情">漏洞详情</h3> <p><strong>摘要</strong> 对上传的SVG文件内容进行净化处理时，未能覆盖所有可能的跨站脚本（XSS）攻击场景。</p> https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0ckeditor%E6%8F%92%E4%BB%B6%E9%BB%98%E8%AE%A4%E5%85%81%E8%AE%B8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Thu, 04 Dec 2025 14:14:52 +0800 https://blog.qife122.com/p/dnn%E5%B9%B3%E5%8F%B0ckeditor%E6%8F%92%E4%BB%B6%E9%BB%98%E8%AE%A4%E5%85%81%E8%AE%B8%E6%9C%AA%E6%8E%88%E6%9D%83%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h3 id="漏洞概述">漏洞概述</h3> <p><strong>CVE ID:</strong> CVE-2025-62802 <strong>严重等级:</strong> 中等 (CVSS评分: 4.3) <strong>影响组件:</strong> DNN平台的CKEditor HTML编辑器提供商</p> <h3 id="漏洞详情">漏洞详情</h3> <p>该漏洞存在于DNN平台（Dnn.Platform）中。其开箱即用的HTML编辑器体验存在一个安全缺陷：<strong>默认配置允许未经身份验证的用户上传文件</strong>。这为其他安全问题（例如上传恶意文件）提供了一个潜在的入口向量，而大多数实际部署场景并不需要此功能。</p>