Một lỗ hổng CVE nghiêm trọng (Stored Cross-Site Scripting – XSS) đã được phát hiện trong module Prompt của DNN Platform, cho phép kẻ tấn công có đặc quyền thấp tiêm và thực thi các script tùy ý trong ngữ cảnh của người dùng có đặc quyền.

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của gói DotNetNuke.Core trước 10.1.0 và mang điểm CVSS v3.1 cơ sở là 9.8 (Critical).

Các tổ chức đang vận hành website dựa trên DNN cần áp dụng bản vá 10.1.0 ngay lập tức để ngăn chặn khả năng đánh cắp dữ liệu, chiếm đoạt phiên làm việc, hoặc chiếm quyền kiểm soát quản trị hoàn toàn.

Phân tích lỗ hổng CVE và cơ chế khai thác

Chi tiết về CVE-2025-59545 và đánh giá CVSS

Lỗ hổng này được công bố dưới dạng GHSA-2qxc-mf4x-wr29 bởi Daniel Valadas. Nó được chỉ định là CVE-2025-59545 và liên quan đến việc không xử lý đúng đắn đầu vào trong quá trình tạo trang web (CWE-79).

Sự thất bại của ứng dụng trong việc xử lý chính xác dữ liệu không đáng tin cậy trong quy trình hiển thị HTML động tạo ra một con đường cho các cuộc tấn công XSS dai dẳng.

Thông tin chi tiết về lỗ hổng CVE-2025-59545 có thể được tìm thấy tại nguồn đáng tin cậy: GitHub Security Advisory.

Cơ chế tấn công Cross-Site Scripting (XSS) trong module Prompt

Module Prompt trong DNN cung cấp một giao diện thực thi lệnh tương tác, có khả năng trả về HTML thô.

Trong khi nền tảng DNN thường vệ sinh hầu hết dữ liệu người dùng gửi trước khi hiển thị trong các biểu mẫu nhập liệu, các lệnh Prompt lại xử lý đầu ra của chúng dưới dạng HTML, bỏ qua các quy trình vệ sinh tiêu chuẩn.

Một kẻ tấn công với bất kỳ tài khoản đã xác thực nào cũng có thể tạo đầu vào chứa các thẻ <script> nhúng hoặc các đánh dấu độc hại khác.

Khi nội dung độc hại này sau đó được một lệnh Prompt xử lý, HTML kết quả sẽ được hiển thị trong trình duyệt của nạn nhân, khiến các script thực thi trong ngữ cảnh bảo mật của một siêu người dùng.

Ảnh hưởng và nguy cơ chiếm quyền điều khiển hệ thống

Kịch bản khai thác và hậu quả nghiêm trọng

Vectơ tấn công của lỗ hổng là dựa trên mạng, yêu cầu độ phức tạp thấp, đặc quyền tối thiểu và tương tác người dùng.

Tuy nhiên, tác động của nó bao gồm tính bảo mật, tính toàn vẹn và tính khả dụng – tất cả đều được đánh giá cao.

Một khi kẻ tấn công gửi một payload chứa JavaScript hoặc HTML độc hại thông qua một biểu mẫu hoặc API endpoint lưu trữ đầu vào của Prompt, dữ liệu sẽ nằm trong cơ sở dữ liệu của hệ thống.

Sau đó, khi một người dùng có đặc quyền gọi một lệnh Prompt đọc đầu vào đã lưu trữ này và trả về nó dưới dạng HTML chưa được xử lý, trình duyệt sẽ giải thích và thực thi các script được nhúng.

Kịch bản này có thể dẫn đến việc đánh cắp token xác thực, các hành động trái phép dưới đặc quyền nâng cao, hoặc chuyển hướng đến các domain do kẻ tấn công kiểm soát.

Vì module Prompt thường được quản trị viên trang web sử dụng cho các tác vụ khắc phục sự cố hoặc cấu hình, sự hiện diện của XSS trong thành phần này đặc biệt nguy hiểm.

Kẻ tấn công có thể mạo danh quản trị viên, sửa đổi nội dung trang web hoặc đưa vào các trang mã hóa theo kiểu ransomware.

Tấn công chuỗi và bề mặt rủi ro

Hơn nữa, bằng cách kết nối XSS này với các lỗ hổng khác như Cross-Site Request Forgery (CSRF), kẻ thù có thể chiếm quyền điều khiển hoàn toàn instance DNN.

Với sự triển khai rộng rãi của DNN trong các mạng nội bộ doanh nghiệp và các trang web công cộng, các instance chưa được vá lỗi tạo ra một bề mặt rủi ro đáng kể cho việc quét khai thác tự động và các cuộc tấn công có mục tiêu.

Biện pháp khắc phục và bản vá bảo mật khẩn cấp

Cập nhật phiên bản DotNetNuke.Core 10.1.0

Phiên bản DotNetNuke.Core 10.1.0 đã vá module Prompt để đảm bảo rằng đầu ra lệnh được thoát hoặc vệ sinh đúng cách trước khi hiển thị.

Quản trị viên nên cập nhật bản vá ngay lập tức để giảm thiểu rủi ro.

Việc khắc phục được ghi nhận cho bdukes vì đã phát hiện và sửa chữa các đường dẫn mã cơ bản, với sự đóng góp đánh giá từ valadas và mitchelsellers.

Tăng cường bảo mật thông tin và phòng ngừa

Ngoài ra, các chuyên gia nên tiến hành rà soát bảo mật toàn diện các module khác có thể tạo HTML từ dữ liệu người dùng.

Việc thực thi Content Security Policy (CSP) và triển khai các quy tắc Web Application Firewall (WAF) phát hiện thẻ script trong ngữ cảnh không mong đợi có thể cung cấp lớp bảo vệ chuyên sâu.

Thường xuyên cập nhật tất cả các thành phần của bên thứ ba và thực hiện quét lỗ hổng được xác thực là các thực hành tốt nhất để ngăn chặn sự tái diễn của các lỗ hổng CVE tương tự.

Tầm quan trọng của mã hóa đầu ra và giám sát liên tục

Việc phát hiện lỗ hổng CVE-2025-59545 nhấn mạnh tầm quan trọng của việc mã hóa đầu ra đúng cách và rà soát mã nghiêm ngặt cho các trình tạo HTML động.

Các tổ chức tận dụng DNN Platform nên coi bản vá này là quan trọng, đảm bảo các ứng dụng web của họ vẫn an toàn trước các cuộc tấn công tiêm script.

Giám sát liên tục và cập nhật kịp thời là các bước thiết yếu để duy trì tư thế bảo mật mạnh mẽ trong các hệ thống quản lý nội dung mô-đun.