DNN (DotNetNuke) Unicode Path Normalization NTLM Hash Disclosure Vulnerability

漏洞信息

漏洞名称： DNN (DotNetNuke) Unicode Path Normalization NTLM Hash Disclosure Vulnerability

漏洞编号：

CVE： CVE-2025-52488

漏洞类型： 信息泄露

漏洞等级： 高危

漏洞描述： DNN（DotNetNuke）是一个广泛使用的开源内容管理系统（CMS），基于Microsoft .NET框架构建，主要用于构建和管理企业级网站。它支持模块化扩展，适用于各种规模的网站部署。此次发现的漏洞涉及Unicode路径规范化过程中的NTLM哈希泄露问题。该漏洞的根源在于DNN在处理包含特定Unicode字符的路径时，未能正确规范化路径，导致可以构造特殊的请求路径，进而触发NTLM认证过程中的哈希泄露。这种信息泄露漏洞可能被攻击者利用来获取用户的NTLM哈希，进一步通过哈希传递攻击或其他手段提升权限，甚至完全控制系统。由于NTLM哈希的泄露不需要用户交互即可被利用，因此该漏洞的风险等级被评估为高危。攻击者可以利用此漏洞在无需认证的情况下远程获取敏感信息，对系统安全构成严重威胁。

产品厂商： DNN (DotNetNuke)

产品名称： DNN (DotNetNuke)

来源： https://github.com/abisonbinoy/CVE-2025-52488-poc

类型： CVE-2025:github search

仓库文件

poc.py

来源概述

Github Poc

#CVE-2025:github search #信息泄露

DNN (DotNetNuke) Unicode Path Normalization NTLM Hash Disclosure Vulnerability

http://example.com/2025/07/21/github_387808677/

作者

lianccc

发布于

2025年7月21日

许可协议

An SQL injection vulnerability in the legacy (transparent) SMTP proxy of Sophos Firewall versions 上一篇

SharePoint Remote Code Execution Vulnerability 下一篇