VDB-343129 · CVE-2026-24837 · GHSA-vm5q-8qww-h238

dnnsoftware Dnn.Platform до 9.13.9/10.1.x Persona Bar межсайтовый скриптинг

CVSS Meta Temp Score	Текущая цена эксплойта (≈)	Балл интереса CTI
5.0	$0-$5k	0.00

СводкаИнформация

В проблематичный обнаружена уязвимость, классифицированная как dnnsoftware Dnn.Platform до 9.13.9/10.1.x. Неизвестная функция компонента Persona Bar затронута. Осуществление манипуляции приводит к межсайтовый скриптинг. Эта уязвимость продается как CVE-2026-24837. Атаку можно провести дистанционно. Эксплойт отсутствует. Рекомендуется произвести апгрейд соответствующего компонента.

ПодробностиИнформация

В проблематичный обнаружена уязвимость, классифицированная как dnnsoftware Dnn.Platform до 9.13.9/10.1.x. Неизвестная функция компонента Persona Bar затронута. Осуществление манипуляции приводит к межсайтовый скриптинг. Декларирование проблемы с помощью CWE приводит к CWE-79. Информация о слабости была опубликована под номером GHSA-vm5q-8qww-h238. Консультация доступна по адресу github.com.

Эта уязвимость продается как CVE-2026-24837. CVE был назначен 27.01.2026. Атаку можно провести дистанционно. Техническая информация отсутствует. Сложность атаки довольно высока. Эксплуатационная пригодность, как говорят, затруднена. Уровень популярности этой уязвимости ниже среднего значения. Эксплойт отсутствует. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1059.007.

Задано как Не определено. Сканер уязвимостей Nessus предоставляет плагин с ID 297831 (Dotnetnuke 9.0.x < 9.13.10 / 10.0.x < 10.2.0 Stored XSS in Module Deletion Confirmation Modal (CVE-2026-24837)), который помогает определить наличие изъяна в целевой среде.

Обновление до версии 9.13.10 и 10.2.0 способно решить эту проблему. Рекомендуется произвести апгрейд соответствующего компонента.

Уязвимость также задокументирована в других базах данных уязвимостей: Tenable (297831).

ПродуктИнформация

Поставщик

dnnsoftware

Имя

Dnn.Platform

Версия

Веб-сайт

Продукт: https://github.com/dnnsoftware/Dnn.Platform/

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 5.0
VulDB Meta Temp Score: 5.0

VulDB Базовый балл: 2.0
VulDB Временная оценка: 1.9
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

NVD Базовый балл: 5.4
NVD Вектор: 🔒

CNA Базовый балл: 7.6
CNA Вектор (GitHub_M): 🔒

CVSSv2Информация

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Вектор	Сложность	Аутентификация	Конфиденциальность	Целостность	Доступность
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать	Разблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Статус: Не определено

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-Day	Разблокировать	Разблокировать	Разблокировать	Разблокировать
Сегодня	Разблокировать	Разблокировать	Разблокировать	Разблокировать

Nessus ID: 297831
Nessus Имя: Dotnetnuke 9.0.x < 9.13.10 / 10.0.x < 10.2.0 Stored XSS in Module Deletion Confirmation Modal (CVE-2026-24837)

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: Dnn.Platform 9.13.10/10.2.0

ХронологияИнформация

27.01.2026 CVE присвоен
28.01.2026 +1 дни Консультация опубликована
28.01.2026 +0 дни Запись VulDB создана
05.02.2026 +8 дни Последнее обновление VulDB