nvd
Usermin
Уязвимости
13
Эксплуатируемые
0
Критический
2
Высокий
4
Топ продуктов
Топ уязвимостей
CVE-2005-1177Неизвестная уязвимость в (1) Webmin и (2) Usermin до версии 1.200 приводит к тому, что Webmin изменяет разрешения и права владения файлами конфигурации с неизвестными последствиями.
CVE-2003-0101miniserv.pl в (1) Webmin до версии 1.070 и (2) Usermin до версии 1.000 неправильно обрабатывает метасимволы, такие как переводы строк и возвраты каретки (CRLF), в строках, закодированных в Base-64, во время базовой аутентификации, что позволяет удаленным злоумышленникам подделать идентификатор сеанса и получить root-привилегии.
CVE-2005-3042miniserv.pl в Webmin до версии 1.230 и Usermin до версии 1.160, когда включены "полные PAM-диалоги", позволяет удаленным злоумышленникам обходить аутентификацию, подделывая идентификаторы сеансов через определенные метасимволы (перевод строки или возврат каретки).
CVE-2004-1468Функциональность веб-почты в Usermin 1.x и Webmin 1.x позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в сообщении электронной почты.
CVE-2002-0757(1) Webmin 0.96 и (2) Usermin 0.90 с включенным тайм-аутом пароля позволяют локальным и, возможно, удаленным злоумышленникам обходить аутентификацию и получать привилегии через определенные управляющие символы в информации об аутентификации, что может заставить Webmin или Usermin принимать произвольные комбинации имени пользователя/идентификатора сеанса.
CVE-2002-0756Межсайтовый скриптинг на странице аутентификации для (1) Webmin 0.96 и (2) Usermin 0.90 позволяет удаленным злоумышленникам вставлять скрипт на страницу ошибки и, возможно, красть файлы cookie.
CVE-2006-4542Webmin до 1.296 и Usermin до 1.226 неправильно обрабатывают URL-адрес с нулевым ("%00") символом, что позволяет удаленным злоумышленникам проводить межсайтовый скриптинг (XSS), читать исходный код CGI-программы, перечислять каталоги и, возможно, выполнять программы.
CVE-2004-0588Уязвимость межсайтового скриптинга (XSS) в модуле веб-почты для Usermin 1.070 позволяет удаленным злоумышленникам внедрять произвольный HTML и скрипт через сообщения электронной почты.
CVE-2006-3392Webmin до 1.290 и Usermin до 1.220 вызывают функцию simplify_path перед декодированием HTML, что позволяет удаленным злоумышленникам читать произвольные файлы, как продемонстрировано с использованием последовательностей "..%01", которые обходят удаление последовательностей "../" перед удалением таких байтов, как "%01", из имени файла. ПРИМЕЧАНИЕ: Это другая проблема, чем CVE-2006-3274.
CVE-2004-0583Функциональность блокировки учетной записи в (1) Webmin 1.140 и (2) Usermin 1.070 не анализирует определенные строки символов, что позволяет удаленным злоумышленникам проводить атаку методом перебора для угадывания идентификаторов пользователей и паролей.
CVE-2007-1276Множественные уязвимости межсайтового скриптинга (XSS) в chooser.cgi в Webmin до 1.330 и Usermin до 1.260 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через специально созданное имя файла.
CVE-2006-4246Usermin до 1.220 (20060629) позволяет удаленным злоумышленникам читать произвольные файлы, возможно, связанные с тем, что chfn/save.cgi неправильно обрабатывает пустой параметр shell, что приводит к изменению оболочки root вместо оболочки указанного пользователя.
CVE-2004-0559Скрипт maketemp.pl в Usermin 1.070 и 1.080 позволяет локальным пользователям перезаписывать произвольные файлы во время установки через атаку с использованием символических ссылок на каталог /tmp/.usermin.