Alerta de Vulnerabilidade - DNN (DotNetNuke)
Vulnerabilidade crítica CVE-2025-64095/EUVD-2025-36564 de controlo de acesso insuficiente no DNN Platform, anteriormente conhecido como DotNetNuke, permite que utilizadores não autenticados façam upload de ficheiros e sobrescrevam ficheiros existentes [1][2].
As seguintes versões são afetadas [1]:
- DNN Platform: versões até 10.0.0 (incluindo)
Instalações DNN com o fornecedor de editor HTML padrão ativado estão em risco. Versões 10.1.1 ou superiores não são afetadas.
Quando explorada com sucesso, permite a um atacante não autenticado o upload de ficheiros maliciosos e a sobrescrita de ficheiros existentes no servidor, sem interação do utilizador, podendo levar ao defacement do site, injeção de payloads XSS e potencial execução remota de código quando combinada com outras vulnerabilidades [3].
A DNN Platform publicou uma atualização, a versão 10.1.1, que corrige a vulnerabilidade. [3]
Caso não seja possível atualizar imediatamente, deve realizar os seguintes procedimentos:
- Desativar o upload de imagens e ficheiros no editor HTML padrão não autenticados;
- Não expor a interface de upload à Internet;
- Implementar autenticação obrigatória para todas as operações de upload de ficheiros.
[1] - https://nvd.nist.gov/vuln/detail/CVE-2025-64095
[2] - https://www.cve.org/CVERecord?id=CVE-2025-64095
[3] - https://github.com/dnnsoftware/Dnn.Platform/releases/tag/v10.1.1