آسیبپذیری CVE-2025-59545 با شدت 9.0 (High) در پلتفرم DNN (DotNetNuke) و مربوط به ماژول Prompt شناسایی شده است. این نقص در نسخههای قبل از 10.1.0 وجود دارد. ماژول Prompt امکان اجرای دستورات مدیریتی را فراهم میکند، اما در برخی موارد ورودیهای کاربر بهدرستی فیلتر نمیشوند و خروجی خام HTML بازگردانده میشود؛ نتیجهی این موضوع امکان تزریق اسکریپت مخرب (XSS) است که هنگام اجرای دستورات Prompt میتواند منجر به اجرای کد سمت کاربر شود.
پیامدهای احتمالی این آسیبپذیری شامل سرقت نشست کاربری (session hijacking)، دسترسی یا افشای اطلاعات حساس و تغییر رفتار صفحات وب است. شدت این ضعف بالا ارزیابی شده است زیرا مدیران و کاربران دارای سطوح دسترسی بالا بیشتر در معرض خطر قرار دارند.
محصولات تحتتأثیر
- DNN Platform (DotNetNuke CMS)
- تمامی نسخههای قبل از 10.1.0
- بهطور خاص: ماژول Prompt در نسخههای آسیبپذیر که امکان اجرای دستورات مدیریتی را فراهم میکند.
توصیههای امنیتی
- بهروزرسانی فوری: ارتقا به DNN نسخهی 10.1.0 یا بالاتر که این نقص را رفع کرده است.
- محدودسازی دسترسی به ماژول Prompt: دسترسی به این ماژول را تنها برای مدیران مجاز قرار دهید و آن را برای کاربران عادی غیرفعال کنید.
- استفاده از WAF (Web Application Firewall): برای شناسایی و فیلتر کردن درخواستهای حاوی اسکریپتهای مخرب.
- فعالسازی Content Security Policy (CSP): برای جلوگیری از اجرای اسکریپتهای تزریقشده در مرورگر.
- پایش و بررسی لاگها: کنترل لاگهای سیستم برای شناسایی تلاشهای مشکوک جهت سوءاستفاده از Prompt.
- اجرای اصل حداقل دسترسی (Least Privilege): نقشها و مجوزهای کاربری را بازبینی کنید و تنها به ادمینها اجازه استفاده از قابلیتهای حساس داده شود.
- آموزش کاربران و ادمینها: افزایش آگاهی دربارهی ریسک XSS، شناسایی لینکها و ورودیهای مخرب و رفتار ایمن در محیط مدیریت.
منبع خبر:
- 2