Plataforma
dotnet
Componente
dotnetnuke.core
Corregido en
9.13.11
10.0.1
9.13.10
CVE-2026-24838 es una vulnerabilidad de Cross-Site Scripting (XSS) crítica que afecta a DotNetNuke.Core en versiones hasta la 9.9.1. Esta falla permite a un atacante inyectar scripts maliciosos en el título de un módulo, los cuales pueden ser ejecutados en el navegador de otros usuarios. La actualización a la versión 9.13.10 resuelve esta vulnerabilidad.
La vulnerabilidad XSS en DotNetNuke.Core permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede resultar en el robo de cookies de sesión, redirecciones maliciosas, defacement del sitio web, o la ejecución de acciones en nombre del usuario. Un atacante podría, por ejemplo, inyectar un script que capture las credenciales de inicio de sesión de un administrador, permitiéndole tomar el control completo del sitio web. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y al potencial impacto en la confidencialidad, integridad y disponibilidad del sistema.
Esta vulnerabilidad fue publicada el 28 de enero de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación sugieren que podría ser objeto de ataques en el futuro. Se recomienda monitorear activamente los sistemas afectados en busca de signos de compromiso.
Websites and applications utilizing DotNetNuke.Core versions 9.9.1 and earlier are at risk. This includes organizations relying on DotNetNuke for content management and those hosting DotNetNuke installations on shared hosting environments, where vulnerabilities can be more easily exploited due to limited control over the underlying infrastructure.
• .NET / web: Inspect module title fields for unusual characters or patterns indicative of JavaScript injection. Use browser developer tools to monitor for unexpected script execution.
• .NET / web: Review DotNetNuke logs for suspicious activity related to module creation or modification.
• .NET / web: Utilize a WAF to detect and block requests containing potentially malicious rich text content in module titles. Look for patterns like <script> tags or event handlers.
• .NET / web: Monitor for unusual network traffic originating from the DotNetNuke server, which could indicate exploitation.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-24838 es actualizar DotNetNuke.Core a la versión 9.13.10 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario, especialmente aquellas relacionadas con el título del módulo. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verifique que la configuración de seguridad de DotNetNuke.Core esté optimizada para prevenir ataques XSS.
Actualice DotNetNuke a la versión 9.13.10 o superior, o a la versión 10.2.0 o superior. Esto solucionará la vulnerabilidad XSS almacenada en el título del módulo. La actualización se puede realizar a través del panel de administración de DotNetNuke.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24838 is a critical Cross-Site Scripting (XSS) vulnerability in DotNetNuke.Core versions up to 9.9.1, allowing script execution via the module title's richtext functionality.
If you are using DotNetNuke.Core versions 9.9.1 or earlier, you are potentially affected by this vulnerability. Check your version and upgrade accordingly.
Upgrade DotNetNuke.Core to version 9.13.10 or later. As a temporary workaround, implement a WAF rule to filter malicious rich text content.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a potential for rapid exploitation.
Refer to the official DotNetNuke security advisory for detailed information and updates regarding CVE-2026-24838.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.