Webmin
Уязвимости
120
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99766
Распределение по критичности
Критический
15
Высокий
33
Средний
65
Низкий
7
Затронутые диапазоны версий
1.100–1.180< 1.910< 1.970< 1.990< 1.997< 2.003< 2.202≤ 0.99≤ 1.2.70≤ 1.2.80≤ 1.2.90≤ 1.340≤ 1.360≤ 1.390≤ 1.540≤ 1.670≤ 1.680≤ 1.720≤ 1.820≤ 1.840≤ 1.850≤ 1.860≤ 1.910≤ 1.920
Также сопоставлено как (исходные строки): guardian_digital_webtool,userwin,webmin,usermin,virtualmin
Топ уязвимостей
CVE-2005-1177Неизвестная уязвимость в (1) Webmin и (2) Usermin до версии 1.200 приводит к тому, что Webmin изменяет разрешения и права владения файлами конфигурации с неизвестными последствиями.
CVE-2003-0101miniserv.pl в (1) Webmin до версии 1.070 и (2) Usermin до версии 1.000 неправильно обрабатывает метасимволы, такие как переводы строк и возвраты каретки (CRLF), в строках, закодированных в Base-64, во время базовой аутентификации, что позволяет удаленным злоумышленникам подделать идентификатор сеанса и получить root-привилегии.
CVE-2002-2201Модуль администрирования принтеров для Webmin 0.990 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в имени принтера.
CVE-2001-1196Уязвимость обхода каталогов в edit_action.cgi Webmin Directory 0.91 позволяет злоумышленникам получать привилегии через '..' (dot dot) в аргументе.
BDU:2024-11622Уязвимость обработчика CGI-запросов панели управления хостингом Webmin связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями
CVE-2022-36446software/apt-lib.pl в Webmin до версии 1.997 не хватает экранирования HTML для команды пользовательского интерфейса.
CVE-2020-35769miniserv.pl в Webmin 1.962 в Windows неправильно обрабатывает специальные символы в аргументах запроса к программе CGI.
CVE-2019-15107В Webmin версий <=1.920 обнаружена проблема. Параметр old в password_change.cgi содержит уязвимость внедрения команд.
CVE-2018-8712Проблема была обнаружена в Webmin 1.840 и 1.880, когда включена настройка "Может просматривать любой файл как файл журнала", установленная по умолчанию в значение Да. В результате слабых настроек конфигурации по умолчанию ограниченные пользователи имеют полные права доступа к основным файлам Unix, что позволяет пользователю читать конфиденциальные данные из локальной системы (с использованием Local File Include), такие как файл '/etc/shadow' через запрос "GET /syslog/save_log.cgi?view=1&file=/etc/shadow".
BDU:2022-04933Уязвимость компонента software/apt-lib.pl панели управления хостингом Webmin связана с недостатком механизма кодирование или экранирование выходных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код
BDU:2019-02968Уязвимость компонента password_change.cgi веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin связана с некорректной нейтрализацией используемых в команде специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в целевой системе посредством отправки вредоносного POST-запроса
CVE-2021-32157В Webmin 1.973 существует уязвимость межсайтового скриптинга (XSS) через функцию Scheduled Cron Jobs.
CVE-2021-31761Webmin 1.973 подвержен отраженному межсайтовому скриптингу (XSS) для достижения удаленного выполнения команд через функцию запущенного процесса Webmin.
CVE-2002-2360Модуль RPC в Webmin 0.21 - 0.99, если установлен без прав root или администратора, позволяет удаленным злоумышленникам читать и записывать произвольные файлы и выполнять произвольные команды через запросы remote_foreign_require и remote_foreign_call.
CVE-2007-5066Неуказанная уязвимость в Webmin до версии 1.370 в Windows позволяет удаленным аутентифицированным пользователям выполнять произвольные команды через специально созданный URL-адрес.
CVE-2024-36451В модуле ajaxterm в Webmin версий до 2.003 существует уязвимость, связанная с неправильной обработкой недостаточных разрешений или привилегий. Если эта уязвимость будет использована, сеанс консоли может быть перехвачен неавторизованным пользователем. В результате данные в системе могут быть запрошены, веб-страница может быть изменена или сервер может быть навсегда остановлен.
CVE-2024-12828Уязвимость удаленного выполнения кода через внедрение команд в Webmin CGI. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Webmin. Для эксплуатации этой уязвимости требуется аутентификация.
Конкретная ошибка существует в обработке CGI-запросов. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-22346.
CVE-2022-30708Webmin до версии 1.991, когда используется тема Authentic, допускает удаленное выполнение кода, когда пользователь был создан вручную (то есть не создан в Virtualmin или Cloudmin). Это происходит потому, что settings-editor_write.cgi неправильно ограничивает параметр file.
CVE-2022-0824Неправильный контроль доступа к удаленному выполнению кода в репозитории GitHub webmin/webmin до версии 1.990.
CVE-2021-32162В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию File Manager.
CVE-2021-32159В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию Upload and Download.
CVE-2021-32156В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию Scheduled Cron Jobs.
CVE-2021-31762Webmin 1.973 подвержен подделке межсайтовых запросов (CSRF) для создания привилегированного пользователя через функцию добавления пользователей Webmin, а затем получения обратной оболочки через функцию запущенного процесса Webmin.
CVE-2021-31760Webmin 1.973 подвержен подделке межсайтовых запросов (CSRF) для достижения удаленного выполнения команд (RCE) через функцию запущенного процесса Webmin.
CVE-2020-35606Произвольное выполнение команд может произойти в Webmin до версии 1.962 включительно. Любой пользователь, авторизованный для модуля Package Updates, может выполнять произвольные команды с правами root через векторы, включающие %0A и %0C. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления для CVE-2019-12840.