Критическая уязвимость в DotNetNuke CMS ставит под угрозу 750 тысяч сайтов

В популярной системе управления контентом с открытым исходным кодом DotNetNuke (DNN) обнаружена опасная брешь, позволяющая злоумышленникам захватывать контроль над веб-серверами. Проблема, получившая идентификатор CVE-2026-40321, затрагивает более 750 000 ресурсов по всему миру, работающих на программной платформе Microsoft.

Механика атаки через SVG-файлы

Уязвимость связана с межсайтовым скриптингом (XSS — методом взлома, при котором вредоносный код исполняется в браузере пользователя). По данным экспертов, злоумышленники могут загружать на сервер файлы формата SVG, содержащие скрытый JavaScript-код, под видом обычных изображений. Для активации атаки достаточно одного клика администратора по такому файлу.

Процесс компрометации системы выглядит следующим образом:

• Хакер регистрирует аккаунт на целевом сайте и загружает вредоносный SVG-файл в свою директорию.
• Фильтры контента платформы не блокируют загрузку, даже если файл содержит исполняемый сценарий.
• Злоумышленник маскирует файл под страницу входа или привлекательное изображение, чтобы спровоцировать администратора на нажатие.
• При клике JavaScript-код выполняется в браузере администратора, используя его активную сессию для доступа к защищенным функциям сервера.
• Вредоносный сценарий обращается к программному интерфейсу (API) системы и создает на сервере веб-шелл — скрытый интерфейс для удаленного управления и выполнения команд.

Почему стандартная защита не справляется

В обзоре подчеркивается, что данная цепочка эксплойтов эффективно обходит традиционные средства защиты. Поскольку атака использует легитимные функции браузера и стандартный формат изображений, антивирусное программное обеспечение часто не видит в этом угрозы. Межсетевые экраны также не блокируют подобные соединения, так как они проходят через обычный веб-трафик.

Инструменты для удаления вредоносного ПО оказываются неэффективными против бэкдора, который был записан на диск через авторизованный запрос. Получив такой доступ, преступники могут похищать данные, устанавливать вирусы или полностью отключать системы безопасности на сервере Windows.

Рекомендации по безопасности

Несмотря на серьезность угрозы, для успешной атаки требуется совпадение нескольких условий: наличие открытой регистрации, возможность загрузки SVG и невнимательность персонала. Для защиты ресурсов эксперты рекомендуют выполнить следующие действия:

• Установить официальный патч от разработчиков DotNetNuke в приоритетном порядке.
• Пересмотреть настройки регистрации пользователей и ограничить права на загрузку файлов.
• Полностью отключить возможность анонимной загрузки контента, если она не является критически важной для работы сайта.
• Проводить регулярный аудит расширений файлов, загружаемых пользователями.