Krytyczna podatność XSS w DNN Platform (DotNetNuke)
W platformie DNN Platform (DotNetNuke), otwartoźródłowym systemie CMS wykorzystywanym na serwerach z systemem Microsoft, wykryto krytyczną podatność typu Stored Cross‑Site Scripting (XSS). Luka umożliwia użytkownikowi z wysokimi uprawnieniami trwałe wstrzyknięcie złośliwego kodu JavaScript, który jest automatycznie wykonywany w przeglądarkach innych użytkowników odwiedzających podatną stronę.
Charakterystyka podatności
- Oznaczenie: CVE‑2026‑24838
- CVSS 3.1: 9,1 (Critical)
Jak działa podatność
Podatność wynika z nieprawidłowej walidacji i neutralizacji danych wejściowych w mechanizmie obsługi tytułów modułów, które mogą być edytowane z użyciem formatu rich‑text.
Użytkownik posiadający wysokie uprawnienia może:
- wstrzyknąć złośliwy kod JavaScript do tytułu modułu,
- zapisać go trwale w systemie (Stored XSS),
- doprowadzić do automatycznego wykonania kodu w przeglądarkach innych użytkowników odwiedzających stronę.
Atak nie wymaga interakcji ze strony ofiary po zapisaniu złośliwego kodu.
Potencjalne skutki
Wykorzystanie podatności może prowadzić do:
- naruszenia poufności – przejęcia sesji użytkowników i dostępu do danych,
- naruszenia integralności – manipulacji treścią strony i ustawieniami systemu,
- naruszenia dostępności – zakłócenia działania serwisu,
- eskalacji dalszych ataków na użytkowników i administratorów systemu.
Podatne systemy
Podatność dotyczy wersji DNN Platform starszych niż:
- 9.13.10
- 10.2.0
Działania zapobiegawcze
Zalecamy:
- niezwłoczną aktualizację DNN Platform do wersji 9.13.10, 10.2.0 lub nowszej wskazanej przez producenta,
- weryfikację treści modułów edytowanych w formacie rich‑text,
- monitorowanie komunikatów bezpieczeństwa publikowanych przez producenta.