🔒 ایمنسازی ماژول Dnn.Prompt در DNN نسخههای 9 تا 10
شرکت دی ان ان پلاس آماده ارائه
پشتیبانی فنی و امنیتی فوری وبسایت شماست. اگر قادر به انجام این موارد نیستید یا میخواهید از خدمات حرفهای امنیتی بهرهمند شوید،
با ما تماس بگیرید.
مرکز مدیریت امداد و هماهنگی رخدادهای رایانهای (مرکز ماهر) آسیبپذیری CVE-2025-59545 را در ماژول Dnn.Prompt
شناسایی کرده است.
➡️ گزارش مرکز ماهر
⚠️ این نقص اجازه دسترسی غیرمجاز به بخشهای حساس Persona Bar را میدهد.
مرحله ۱: مسدودسازی API آسیبپذیر در IIS
برای جلوگیری از سوءاستفاده، مسیر زیر باید مسدود شود:
API/PersonaBar/Command/Cmd
روش مسدود سازی کامل در سطح کل پورتال :
-
اطمینان حاصل کنید که IIS URL Rewrite روی سرور نصب است. درصورتی که روی سرور شما نصب نبود از طریق آموزش با لینک : دانلود و نصب URL Rewrite از سایت رسمی مایکروسافت
-
در فایل web.config
سایت، بخش <system.webServer>
را پیدا کرده و کد زیر را اضافه کنید:
<rewrite>
<rules>
<rule name="Block Prompt API" stopProcessing="true">
<match url="^API/PersonaBar/Command/Cmd(/.*)?$" ignoreCase="true" />
<conditions logicalGrouping="MatchAll" trackAllCaptures="false" />
<action type="CustomResponse" statusCode="403" statusReason="Forbidden" statusDescription="Prompt API has been disabled for security reasons." />
</rule>
</rules>
</rewrite>
💡 توضیح:
- این دستور تنها API آسیبپذیر را مسدود میکند و سایر بخشهای Persona Bar بدون تغییر باقی میمانند.
- حتی اگر فایلهای ماژول بازگردانده شوند، API آسیبپذیر غیرفعال باقی خواهد ماند.
مرحله ۲: نصب پچ نهایی دی ان ان پلاس :
برای اصلاح و پوشش ماژول، فایل نصبی زیر ارائه شده است :
Dnn.PersonaBar.Prompt.Patch_1.0.0_Install_Dnnplus.ir.zip
🔹 نحوه نصب:
-
وارد بخش افزونه ها در مدیریت شوید.
-
گزینه نصب ماژول را انتخاب کنید.
-
فایل zip بالا را بارگذاری و مراحل نصب را دنبال کنید و یکبار صفحه را رفرش کنید.
-
پس از نصب، ماژول آسیبپذیر غیرفعال شده و پیام امنیتی جایگزین در بخش دستورات سریع (Prompt) نمایش داده میشود.
✅ پیام جایگزین این اطمینان را حاصل می کنید که ماژول به دلایل امنیتی پچ و غیرفعال شده است.
نکات تکمیلی
- این پچ برای نسخههای 9.x تا 10.x طراحی شده و CVE-2025-59545 را به طور کامل رفع میکند.
- برای دریافت اخبار، نسخههای بومی هسته و پچهای امنیتی، به کانال تلگرام دیانان پلاس مراجعه کنید.
- مرحله IIS URL Rewrite تضمین میکند که حتی در صورت تغییر فایلهای ماژول، API آسیبپذیر غیرفعال باقی بماند.
💚 نتیجهگیری:
با انجام این مراحل، سایت شما از دسترسی غیرمجاز به ماژول Dnn.Prompt
محافظت شده و مشکل امنیتی گزارششده توسط مرکز ماهر به طور کامل رفع میشود. این روش، راهکاری مطمئن و پایدار برای مدیران سایتهایی است که امکان ارتقا فوری به آخرین نسخه DNN را ندارند.
برای اطمینان کامل، توصیه میشود سایتها از نسخه بومی و معتبر دی ان ان پلاس استفاده کنند؛ این نسخه، هسته را بدون هیچ تغییر در فایلهای DLL ارائه میدهد و ضمن حفظ عملکرد اصلی، استانداردهای امنیتی لازم را رعایت کرده و مدیریت سامانه را از نظر امنیت و پایداری کاملاً مطمئن میسازد.
شرکت دی ان ان پلاس آماده ارائه
پشتیبانی فنی و امنیتی فوری وبسایت شماست. اگر قادر به انجام این موارد نیستید یا میخواهید از خدمات حرفهای امنیتی بهرهمند شوید،
با ما تماس بگیرید.