Valadas

**Nome do Software Vulnerável e Versões Afetadas** DNN (anteriormente DotNetNuke) versões 9.0.0 até 9.13.9 DNN (anteriormente DotNetNuke) versões 10.0.0 até 10.1.x **Descrição** O DNN (anteriormente DotNetNuke) é uma plataforma de gerenciamento de conteúdo web de código aberto. Um editor de conteúdo poderia injetar scripts nos cabeçalhos ou rodapés dos módulos, que seriam então executados para outros usuários. **Recomendações** Atualize para a versão 9.13.10 ou posterior. Atualize para a versão 10.2.0 ou posterior.

**Name of the Vulnerable Software and Affected Versions** DNN (formerly DotNetNuke) versions prior to 10.1.0 **Description** DNN is an open-source web content management platform. The CKEditor file upload endpoint lacks sufficient filename sanitization, potentially allowing network endpoint probing. A crafted request can upload a file with Unicode characters, which could translate into a path exposing internal network resources. The issue affects the `/api/v1/upload` endpoint. The `filename` parameter is vulnerable. **Recommendations** Update to version 10.1.0 or later.

Nome do Software Vulnerável e Versões Afetadas: DNN (anteriormente DotNetNuke) versões 7.0.0 a 10.0.0 Descrição: A falha permite que uma requisição especialmente elaborada ou um proxy burlem a lógica dos Filtros de IP de Login do DNN, possibilitando tentativas de login a partir de endereços IP não incluídos na lista de permissões. Esta falha foi corrigida na versão 10.0.1. Recomendações: Para as versões 7.0.0 a 10.0.0, atualize para a versão 10.0.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos Filtros de IP de Login do DNN para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: DNN (anteriormente DotNetNuke) versões 6.0.0 até 10.0.0 Descrição: O problema diz respeito à plataforma DNN (anteriormente DotNetNuke), que é uma plataforma de gerenciamento de conteúdo web de código aberto no ecossistema Microsoft. Ela permite que conteúdo especialmente elaborado em URLs seja usado com TokenReplace e não seja devidamente sanitizado por alguns SkinObjects. Recomendações: Para as versões 6.0.0 até 10.0.0, atualize para a versão 10.0.1 para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** DNN (anteriormente DotNetNuke) versões anteriores à 9.13.9 **Descrição** O problema diz respeito à plataforma de gerenciamento de conteúdo web de código aberto DNN (anteriormente DotNetNuke), que faz parte do ecossistema Microsoft. Nas versões afetadas, arquivos SVG carregados poderiam conter scripts. Caso esses arquivos SVG sejam renderizados inline, os scripts poderiam ser executados, permitindo ataques de cross-site scripting (XSS). **Recomendações** Para versões anteriores à 9.13.9, atualize para a versão 9.13.9 para resolver o problema. Como solução temporária, considere restringir o carregamento de arquivos SVG ou desabilitar a renderização de arquivos SVG inline até que a atualização possa ser aplicada.

Name of the Vulnerable Software and Affected Versions: DNN (formerly DotNetNuke) versions prior to 9.13.8 Description: The issue concerns a possible denial of service that can be triggered by submitting specially crafted information in the public registration form. Recommendations: For versions prior to 9.13.8, update to version 9.13.8 to resolve the issue.

Nome do Software Vulnerável e Versões Afetadas: DNN (anteriormente DotNetNuke) versões 6.0.0 a 10.0.0 Descrição: A falha permite que uma requisição especialmente elaborada injete scripts no endpoint "Activity Feed Attachments", os quais serão renderizados no feed, resultando em um ataque de cross-site scripting. Recomendações: Para as versões 6.0.0 a 10.0.0, atualize para a versão 10.0.1 para resolver a falha. Como medida de contorno temporária, considere restringir o acesso ao endpoint "Activity Feed Attachments" até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** DNN (anteriormente DotNetNuke) versões anteriores a 9.13.9 **Descrição** Um SuperUsuário (Host) malicioso poderia elaborar uma requisição para utilizar uma URL externa em uma exportação de site para posterior importação. Este problema está relacionado à plataforma de gerenciamento de conteúdo web (CMS) de código aberto DNN (anteriormente DotNetNuke) no ecossistema Microsoft. **Recomendações** Para versões anteriores a 9.13.9, atualize para a versão 9.13.9 para resolver o problema.