PT-2020-12701 · Dnn · Dnn
Connor Neff
·
Publicado
2020-04-06
·
Atualizado
2021-07-21
·
CVE-2020-11585
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
DNN (anteriormente DotNetNuke) versão 9.5
Descrição
A vulnerabilidade permite que um usuário registrado divulgue informações sobre arquivos no Gerenciador de Arquivos do Administrador ao enviar uma mensagem com um arquivo anexado. Isso é feito utilizando um valor inteiro pequeno e arbitrário no parâmetro
fileIds. A vulnerabilidade está presente no módulo integrado Activity-Feed/Messaging/Userid/Message Center.Recomendações
Para o DNN (anteriormente DotNetNuke) versão 9.5, como solução temporária, considere restringir o acesso ao parâmetro
fileIds no módulo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Use of Insufficiently Random Values
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dnn