DotNetNuke (DNN)

Die Schwachstelle betrifft das Content-Management-System DotNetNuke (DNN). Sie liegt darin, dass die Software ein schwaches Verschlüsselungsverfahren einsetzt, um Eingabeparameter zu schützen. Weil dieser Schutz kryptografisch nicht ausreichend stark ist, kann ein Angreifer die verschlüsselten Parameter aufbrechen und an die darin enthaltenen Werte gelangen oder sie verändern. Damit lässt sich der eigentlich vertrauliche Inhalt dieser Parameter offenlegen oder manipulieren, was die Vertraulichkeit und Integrität der über das System verarbeiteten Daten untergräbt. Besonders bemerkenswert ist, dass diese Lücke das Ergebnis einer unvollständigen Korrektur einer früheren, gleichartigen Schwachstelle ist: Der ursprüngliche Behebungsversuch schloss das Problem nur teilweise, sodass das schwache Verschlüsselungsverfahren weiterhin angreifbar blieb. Betroffen sind Betreiber von Webauftritten, die auf DotNetNuke aufsetzen.