Содержание
В DotNetNuke (DNN) нашли критическую уязвимость CVE-2026-40321: злоумышленник загружает вредоносный SVG, админ кликает по «картинке», и атакующий получает шанс развернуть web shell на сервере. Под риск попадают сайты на популярной open-source CMS под Windows, а суммарно DNN используют более 750 000 сайтов по миру.
Ключевая проблема в том, что атака строится как цепочка: XSS в браузере жертвы запускает действия от имени уже авторизованного администратора. Дальше в ход идет легитимный API-эндпоинт, который при достаточных правах умеет записывать файлы на сервер.
Как SVG превращают в точку входа для XSS
По данным Pentest Tools, атакующий может загрузить SVG-файл, содержащий JavaScript-код, так, чтобы система приняла его за обычное изображение. Когда пользователь с правами (например, администратор) открывает или кликает по такому файлу, скрипт выполняется в браузере и получает доступ к действиям в рамках текущей сессии.
Важная деталь: по умолчанию DotNetNuke разрешает регистрацию пользователей и загрузку SVG в пользовательские директории. Фильтр контента не блокирует такие SVG даже если внутри спрятан JavaScript, например в anchor-теге.
Чтобы «клик» выглядел менее подозрительно, атакующие могут встраивать в SVG картинку с фейковой формой логина. Жертва думает, что это обычная картинка или вложение, и запускает payload одним нажатием.
Что дает атакующему один клик администратора
После срабатывания XSS злоумышленник действует от имени жертвы и может дернуть эндпоинт /API/personaBar/ConfigConsole/UpdateConfigFile. Это аутентифицированная точка, которая при достаточных привилегиях дает записывать файлы на сервер.
Дальше цепочка выглядит уже как классический захват: payload создает новый ASPX web shell — бэкдор, который принимает команды через параметры URL. С таким доступом атакующий может запускать вредоносный код, воровать данные и отключать защитные инструменты на Windows-сервере.
Почему уязвимость считают опасной, даже без «взлома пароля»
Опасность тут в том, что атака обходит привычные уровни защиты. Вредоносный код приезжает в виде «легального» SVG и запускается штатными возможностями браузера, а запись бэкдора на диск происходит через запрос от лица уже авторизованного пользователя.
- Антивирус: может не увидеть атаку, потому что входной файл выглядит как обычное изображение, а выполнение идет в браузере.
- Фаервол: с высокой вероятностью не отрежет трафик, потому что запросы идут по стандартному HTTP.
- Удаление malware: усложняется тем, что web shell появляется как «нормально» записанный файл через легитимный функционал, а не через прямую эксплуатацию уязвимости ОС.
При этом атака не «магическая». Должны совпасть условия: у атакующего есть аккаунт на сайте, он может загружать SVG, и кто-то с привилегиями должен кликнуть по файлу.
Для админов вывод простой: патчить DNN нужно приоритетно. И параллельно стоит пересмотреть политику регистрации и загрузок, особенно если анонимные аккаунты и пользовательские аплоады вам не нужны.
Уязвимость отслеживают как CVE-2026-40321, и для нее уже выпустили официальный патч.
Подробности технического разбора: Pentest Tools.
