♟نکات و گوشزدهای امنیتی♟_ امتیاز ویژه

نسخه*ی ۲.۸ وقدیمی*ترِ نرم*افزار BlogEngine.NET دارای آسیب*پذیری افشای اطلاعات می*باشند که به مهاجم این امکان را می*دهد که به اطلاعات محرمانه*ی کاربر دست*رسی پیدا کند. 

BlogEngine.NET پروژه*ی متن*باز ASP.NET است که با هدف اولیه**ی ایجاد یک سکوی وبلاگ*نویسی متولد شد. این پروژه*ی نسبتاً معروف دارای ویژگی*هایی مانند سبک*بودن، شخصی*سازی آسان است و به این علت که با مهارت*های ابتدایی دات*نت به راحتی می*توان از آن استفاده کرد مورد استقبال کاربران قرار گرفته است. 

آخرین نسخه*ی در دست*رس این نرم*افزار نسخه*ی ۲.۹ می*باشد. 

آسیب*پذیری معرفی شده با شناسه*ی CVE-2013-6953، همان*طور که مطرح شد به مهاجم امکان دست*رسی به پرونده*های پیکربندی کاربر را می*دهد. پرونده*های پیکربندی sioc.axd شامل نام کاربری و گذرواژه*ی هش* کاربر برای وب*گاه مبتنی بر BlogEngine.NET می*باشند و در صورتی که گذرواژه*ی کاربر ضعیف باشد و مهاجم بتواند به آن دست*رسی پیدا کند و یا همین گذراواژه را بازنشانی کند، اطلاعات کاربر به خطر خواهد افتاد. 

هنوز برای این آسیب*پذیری وصله*ای ارائه نشده است و به کاربران توصیه می*شود نسخه*ی جدید*تر این نرم*افزار، یعنی نسخه*ی ۲.۹ را از وب*گاه اصلی بارگیری کنند تا از خطرات احتمالی در امان باشند.