漏洞标题
N/A
漏洞描述信息
在DotNetNuke 4.8.2之前,在安装或升级过程中,不会提醒管理员在Web.config文件中的默认(1)验证KEY和(2)解密KEY值不能被修改,这允许远程攻击者通过使用默认密钥绕过预期访问限制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
DotNetNuke before 4.8.2, during installation or upgrade, does not warn the administrator when the default (1) ValidationKey and (2) DecryptionKey values cannot be modified in the web.config file, which allows remote attackers to bypass intended access restrictions by using the default keys.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
DotNetNuke 默认'ValidationKey'和 'DecriptionKey' 弱加密漏洞
漏洞描述信息
DotNetNuke是一款基于Microsoft .NE的内容管理系统和应用开发平台。 DotNetNuke 4.8.2版本之前的版本,在安装或更新的过程中,没有在默认的(1)ValidationKey和(2)web.config文件中的DecryptionKey的值不能被修改时警告管理员,这会允许远程攻击者通过运行默认密码本绕过预设的访问限制。
CVSS信息
N/A
漏洞类别
授权问题