DotNetNuke (DNN)

Die Schwachstelle steckt im Content-Management-System DotNetNuke (DNN). Um bestimmte Eingabeparameter zu schützen, verschlüsselt die Software diese Werte – allerdings mit einem schwachen, unzureichenden Verschlüsselungsverfahren. Weil der eingesetzte Algorithmus nicht stark genug ist, lässt sich der Schutz aushebeln: Ein Angreifer kann die so gesicherten Parameter entschlüsseln oder gezielt manipulieren, statt dass diese vertraulich und unverändert bleiben. Geschützte Eingabewerte sind damit nicht mehr verlässlich abgesichert, sodass vertrauliche Informationen offengelegt oder die übermittelten Parameter verfälscht werden können. Betroffen sind Websites und Anwendungen, die auf DotNetNuke aufsetzen und sich auf diese Verschlüsselung verlassen. Da das CMS in der Regel über das Internet erreichbar ist und Parameter an die Anwendung übergeben werden, betrifft die schwache Verschlüsselung einen zentralen Mechanismus, über den Eingaben verarbeitet und abgesichert werden.