DNNプラットフォームのPromptモジュールに、低権限の攻撃者が特権ユーザーのコンテキストで任意のスクリプトを挿入および実行できる深刻な格納型クロスサイトスクリプティング（XSS）の脆弱性が発見されました。この脆弱性は、Daniel Valadas氏によってGHSA-2qxc-mf4x-wr29として公開され、DotNetNuke.Coreパッケージのバージョン10.1.0より前のすべてのバージョンに影響を与えます。CVSS v3.1の基本スコアは9.8（Critical）と評価されており、DNNベースのウェブサイトを運用している組織は、直ちにパッチ10.1.0を適用することが強く推奨されます。

DNNのPromptモジュールは、生のHTMLを返すことができる対話型のコマンド実行インターフェースを提供します。プラットフォームはほとんどのユーザー提出データをエントリフォームでレンダリングする前にサニタイズしますが、Promptコマンドはその出力をHTMLとして処理するため、標準的なサニタイズルーチンをバイパスしてしまいます。これにより、認証されたアカウントを持つ攻撃者は、埋め込みの`