Plataforma
dotnet
Componente
dotnetnuke.core
Corregido en
10.1.1
10.1.0
La vulnerabilidad CVE-2025-59545 es una falla de Cross-Site Scripting (XSS) presente en DotNetNuke.Core hasta la versión 9.9.1. Esta falla permite a atacantes inyectar scripts maliciosos que se ejecutan en el navegador de los usuarios, comprometiendo la integridad y confidencialidad de los datos. La actualización a la versión 10.1.0 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del módulo Prompt. Este código se ejecuta en el contexto del usuario, lo que permite al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos o modificar el contenido de la página web. El impacto potencial es significativo, pudiendo resultar en el robo de información sensible, la toma de control de cuentas de usuario y la defacement del sitio web. La naturaleza de la inyección XSS permite ataques de phishing dirigidos a usuarios específicos, aumentando el riesgo de compromiso. La falta de validación adecuada de la entrada del usuario en el módulo Prompt es la causa raíz de esta vulnerabilidad.
La vulnerabilidad CVE-2025-59545 fue publicada el 23 de septiembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas a la fecha. La disponibilidad de un PoC público podría aumentar el riesgo de explotación, por lo que se recomienda aplicar las mitigaciones lo antes posible. La naturaleza de la vulnerabilidad XSS la hace susceptible a explotación por una amplia gama de atacantes.
Websites and applications utilizing DotNetNuke.Core versions 9.9.1 and earlier are at risk. This includes organizations relying on DotNetNuke for content management, particularly those with publicly accessible Prompt modules. Shared hosting environments using vulnerable DotNetNuke installations are also at increased risk due to the potential for cross-tenant exploitation.
• dotnet: Examine DotNetNuke application logs for unusual HTML output from the Prompt module. Use a debugger to trace the execution flow of the Prompt module and identify potential injection points.
• generic web: Use curl or wget to test the Prompt module with various payloads containing HTML tags and JavaScript code. Check the response headers for signs of script execution.
• generic web: Monitor access logs for requests containing suspicious HTML or JavaScript patterns targeting the Prompt module.
curl -X POST -d '<script>alert("XSS")</script>' https://your-dotnetnuke-site.com/prompt-moduledisclosure
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-59545 es actualizar DotNetNuke.Core a la versión 10.1.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de la entrada del usuario en el módulo Prompt y la aplicación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts maliciosos. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación. Si se sospecha de una intrusión, se debe realizar una auditoría de seguridad completa del sitio web.
Actualice DNN a la versión 10.1.0 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS en el módulo Prompt. La actualización evitará la ejecución de scripts maliciosos a través de comandos que retornan HTML sin sanitizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-59545 is a critical Cross-Site Scripting (XSS) vulnerability in DotNetNuke.Core versions up to 9.9.1, allowing attackers to inject malicious scripts through the Prompt module.
Yes, if you are using DotNetNuke.Core version 9.9.1 or earlier, you are vulnerable to this XSS attack.
Upgrade DotNetNuke.Core to version 10.1.0 or later to resolve this vulnerability. Consider WAF rules as a temporary mitigation.
While no widespread exploitation has been confirmed, the high CVSS score and the nature of XSS vulnerabilities suggest a high probability of exploitation.
Refer to the official DotNetNuke security advisory for detailed information and updates regarding CVE-2025-59545.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.