返回列表

DotNetNuke.Core 通过上传 SVG 文件导致存储型跨站脚本 (XSS) 漏洞

PoC
RCE2026-04-10

影响软件

DotNetNuke.Core

CWE

CWE-87: Improper Neutralization of Alternate XSS Syntax

CVSS

8.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H)

受影响版本

< 10.2.2

修复版本

10.2.2

关联产品

DotNetNuke.Core

漏洞描述

### 漏洞概述 DotNetNuke.Core 存在一个存储型跨站脚本 (XSS) 漏洞。攻击者可以通过上传包含恶意脚本的特殊 SVG 文件来触发该漏洞。 ### 影响范围 受影响的组件为 DotNetNuke.Core。该漏洞可以影响已认证和未认证的 DNN 用户。如果恶意脚本在具有高权限(如 Power User)的用户会话中执行,攻击的影响程度将显著增加。 ### 利用条件 攻击者需要能够通过 DotNetNuke 平台的上传功能上传 SVG 文件。 ### 修复建议 建议将 DotNetNuke.Core 升级至 10.2.2 或更高版本。 ### 参考链接 - https://github.com/advisories/GHSA-ffq7-898w-9jc4

补充来源

https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-ffq7-898w-9jc4https://github.com/dnnsoftware/Dnn.Platform/releases/tag/v10.2.2

PoC / 利用代码

NOTICE: This PoC is AI-generated and unverified. It is intended for educational and security testing purposes only.

登录后可查看 PoC 内容

查看原文

当前页面内容可能涉及 AI 翻译、补全或规范化处理,请结合原始来源核对关键信息。