کشف آسیبپذیری حیاتی Directory Traversal در ماژول DNNarticle داتنتنیوک
در DNNArticle module 11 برای DotNetNuke یک آسیبپذیری حیاتی تحت عنوان CVE-2018-9126 کشف شده است که به مهاجم اجازه میدهد از راه دور فایل web.config را خوانده و در نتیجه از طریق آدرس /GetCSS.ashx/?CP=%2fweb.config بتواند اطلاعات حیاتی پایگاه داده را به دست آورد.
DNN Article نه تنها یک ماژول قدرتمند برای پست و مدیریت مقاله است، بلکه راهحلهای جامعی نیز برای مدیریت محتوا فراهم میآورد. محتواهایی از قبیل مقالات، اخبار، اطلاعیهها، کاتالوگ محصولات و غیره میتوانند به صورت نامحدود در دستهبندیهای مختلف سازماندهی گردند. محتوای جدید قبل از انتشار میتواند کنترل شود. مدیر میتواند نقشهایی را به عنوان ناظر تعیین نماید. همچنین این امکان وجود دارد که زمان افزوده شدن محتوای جدید یک ایمیل ارسال گردد. بازدیدکنندگان میتوانند برای هر یک از محتواها نظر ارسال کرده و نیز امتیاز بدهند. آنها همچنین میتوانند موافقت یا عدم موافقت خود را با یک مقاله اعلام نمایند. این محصول قابلیتهای رایج DotNetNuke، از قبیل محلیسازی، جستجو و ... را پشتیبانی میکند. همچنین جهت ارائهی توابع قدرتمندتر برای پورتال، قابلیت یکپارچه شدن با Twitter، Facebook، Map Google، Writer Live Windows و Journal DotNetNuke را دارد. DNNArticle یک سیستم توسعهپذیر میباشد. به منظور ایجاد جذابیت برای کاربر در نسخه استاندارد DNNArticle تعدادی ماژول وجود دارد. همچنین به منظور فراهم نمودن قابلیتهای بیشتر تعدادی ماژول اختیاری برای آن ارائه شده است. و تعداد این ماژولهای اختیاری مدام در حال افزایش است. تعدادی اپلیکیشن مبتنی بر DNNArticle نیز وجود دارند، از جمله آنها میتوان به DNNArticle Blog و DNNArticle Product اشاره نمود. DNNArticle به طور کامل قالبها و تم CSS را پشتیبانی میکند. این قابلیت برای کاربران انعطافپذیری بیشتری فراهم میکند تا بتوانند رابط کاربری جذابتری ایجاد نمایند.
توصیه امنیتی جهت مصون ماندن از حملات احتمالی
از آنجا که هنوز وصله امنیتی برای این آسیبپذیری ارائه نشده است، جهت پیشگیری از حملات احتمالی ناشی از این آسیبپذیری به شدت توصیه میگردد ماژول DNNArticle را در سایت خود غیرفعال نمایید. همچنین برای جلوگیری از افشای اطلاعات، پورت MSSQL را روی سرور مربوطه برای دسترسی های خارجی مسدود کنید و پسورد اتصال به دیتابیس را حتما تغییر دهید.