الثغرات ›

CVE-2017-9822

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

DotNetNuke (DNN) Remote Code Execution Vulnerability — DotNetNuke (DNN) contains a vulnerability that may allow for remote code execution via cookie deserialization.

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

DotNetNuke (DNN) Remote Code Execution Vulnerability — DotNetNuke (DNN) contains a vulnerability that may allow for remote code execution via cookie deserialization.

🤖 ملخص AI

CVE-2017-9822 is a critical remote code execution vulnerability in DotNetNuke (DNN) CMS platform caused by insecure cookie deserialization. With a CVSS score of 9.0 and publicly available exploits, attackers can achieve full remote code execution on affected servers without authentication. This vulnerability has been actively exploited in the wild and poses an immediate threat to any organization running unpatched DNN instances. Given the age of this vulnerability (2017) and exploit availability, any remaining unpatched systems are at extreme risk of compromise.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 9, 2026 06:49

🇸🇦 التأثير على المملكة العربية السعودية

DotNetNuke is used by various Saudi organizations for web content management, particularly in government portals, educational institutions, and corporate websites. Government entities regulated by NCA may have legacy DNN installations on public-facing websites. Saudi banking sector websites (SAMA-regulated) and healthcare portals could be affected if running DNN. Energy sector companies and their subsidiary websites may also be vulnerable. The availability of public exploits makes this particularly dangerous for any Saudi organization with internet-facing DNN instances, as threat actors targeting the region actively scan for such known vulnerabilities.

🏢 القطاعات السعودية المتأثرة

Government Banking Education Healthcare Energy Telecom Retail

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all DotNetNuke (DNN) installations across the organization using asset discovery tools

2. Immediately patch to DNN version 9.1.1 or later which addresses this vulnerability

3. If immediate patching is not possible, place a WAF rule to inspect and block suspicious cookie deserialization payloads

4. Monitor web server logs for exploitation attempts targeting DNN cookie handling



PATCHING GUIDANCE:

- Upgrade DNN to the latest stable version (9.x+) from the official DotNetNuke repository

- Apply all intermediate security patches if upgrading from very old versions

- Test in staging environment before production deployment



COMPENSATING CONTROLS:

- Implement network segmentation to isolate DNN web servers

- Deploy application-layer firewall rules to detect .NET deserialization attacks

- Restrict outbound network access from web servers to limit post-exploitation activity

- Enable detailed logging on IIS/web servers hosting DNN



DETECTION RULES:

- Monitor for suspicious .NET deserialization patterns in HTTP cookies

- Alert on unusual process execution from IIS worker processes (w3wp.exe)

- Deploy YARA/Sigma rules for known DNN exploitation tools (e.g., ysoserial.net payloads)

- Monitor for unexpected PowerShell or cmd.exe spawned by web server processes

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع تثبيتات DotNetNuke (DNN) عبر المؤسسة باستخدام أدوات اكتشاف الأصول

2. التحديث فوراً إلى إصدار DNN 9.1.1 أو أحدث الذي يعالج هذه الثغرة

3. في حالة عدم إمكانية التحديث الفوري، وضع قاعدة جدار حماية تطبيقات الويب لفحص وحظر حمولات إلغاء التسلسل المشبوهة في ملفات تعريف الارتباط

4. مراقبة سجلات خادم الويب لمحاولات الاستغلال التي تستهدف معالجة ملفات تعريف الارتباط في DNN



إرشادات التحديث:

- ترقية DNN إلى أحدث إصدار مستقر (9.x+) من المستودع الرسمي

- تطبيق جميع التحديثات الأمنية الوسيطة عند الترقية من إصدارات قديمة جداً

- الاختبار في بيئة التجربة قبل النشر في بيئة الإنتاج



الضوابط التعويضية:

- تنفيذ تجزئة الشبكة لعزل خوادم الويب DNN

- نشر قواعد جدار حماية طبقة التطبيقات للكشف عن هجمات إلغاء التسلسل في .NET

- تقييد الوصول الصادر من خوادم الويب للحد من نشاط ما بعد الاستغلال

- تمكين التسجيل التفصيلي على خوادم IIS/الويب التي تستضيف DNN



قواعد الكشف:

- مراقبة أنماط إلغاء التسلسل المشبوهة في ملفات تعريف الارتباط HTTP

- التنبيه عند تنفيذ عمليات غير عادية من عمليات عامل IIS (w3wp.exe)

- نشر قواعد YARA/Sigma لأدوات استغلال DNN المعروفة

- مراقبة PowerShell أو cmd.exe غير المتوقعة التي تنشأ من عمليات خادم الويب

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

2-3-1 (Patch Management) 2-5-1 (Web Application Security) 2-2-1 (Vulnerability Management) 2-9-1 (Security Monitoring)

🔵 SAMA CSF

3.3.3 (Patch Management) 3.3.5 (Vulnerability Management) 3.4.1 (Security Event Monitoring) 3.3.7 (Web Application Security)

🟡 ISO 27001:2022

A.8.8 (Management of Technical Vulnerabilities) A.8.9 (Configuration Management) A.8.16 (Monitoring Activities) A.8.28 (Secure Coding)

🟣 PCI DSS v4.0

6.3.3 (Patch Critical Vulnerabilities) 6.4 (Web Application Firewall) 11.3 (Penetration Testing) 10.6 (Log Monitoring)

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

DotNetNuke (DNN):DotNetNuke (DNN)

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS94.29%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-03

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

🏷️ الوسوم

kev actively-exploited ransomware

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2017-9822

عرّفنا بنفسك

تسجيل الدخول مطلوب