漏洞信息详情
DotNetNuke 默认'ValidationKey'和 'DecriptionKey' 弱加密漏洞
- CNNVD编号:CNNVD-200903-498
- 危害等级: 中危
- CVE编号: CVE-2008-6540
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2009-03-30
- 威胁类型: 远程
- 更新时间: 2009-03-30
- 厂 商: dotnetnuke
- 漏洞来源: Brian Holyfield - ...
漏洞简介
DotNetNuke是一款基于Microsoft .NE的内容管理系统和应用开发平台。
DotNetNuke 4.8.2版本之前的版本,在安装或更新的过程中,没有在默认的(1)ValidationKey和(2)web.config文件中的DecryptionKey的值不能被修改时警告管理员,这会允许远程攻击者通过运行默认密码本绕过预设的访问限制。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dotnetnuke.com/
参考网址
来源: XF
名称: dotnetnuke-webconfig-weak-security(41399)
链接: http://xforce.iss.net/xforce/xfdb/41399
来源: BID
名称: 28391
链接: http://www.securityfocus.com/bid/28391
来源: BUGTRAQ
名称: 20080321 DotNetNuke Default Machine Key Exposure
链接: http://www.securityfocus.com/archive/1/archive/1/489957/100/0/threaded
来源: www.dotnetnuke.com
链接: http://www.dotnetnuke.com/News/SecurityBulletins/SecurityBulletinno12/tabid/1148/Default.aspx
来源: SECUNIA
名称: 29488
链接: http://secunia.com/advisories/29488
来源: OSVDB
名称: 43720
链接: http://osvdb.org/43720
受影响实体
- Dotnetnuke Dotnetnuke:4.0
- Dotnetnuke Dotnetnuke:3.0.11
- Dotnetnuke Dotnetnuke:3.0.7
- Dotnetnuke Dotnetnuke:3.0.8
- Dotnetnuke Dotnetnuke:3.1.0
补丁
暂无
评论