nvd,bdu,anchore_overrides
Webmin
Уязвимости
137
Эксплуатируемые
1
Критический
15
Высокий
35
Топ продуктов
Топ уязвимостей
CVE-2005-1177Неизвестная уязвимость в (1) Webmin и (2) Usermin до версии 1.200 приводит к тому, что Webmin изменяет разрешения и права владения файлами конфигурации с неизвестными последствиями.
CVE-2003-0101miniserv.pl в (1) Webmin до версии 1.070 и (2) Usermin до версии 1.000 неправильно обрабатывает метасимволы, такие как переводы строк и возвраты каретки (CRLF), в строках, закодированных в Base-64, во время базовой аутентификации, что позволяет удаленным злоумышленникам подделать идентификатор сеанса и получить root-привилегии.
CVE-2002-2201Модуль администрирования принтеров для Webmin 0.990 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы оболочки в имени принтера.
CVE-2001-1196Уязвимость обхода каталогов в edit_action.cgi Webmin Directory 0.91 позволяет злоумышленникам получать привилегии через '..' (dot dot) в аргументе.
BDU:2024-11622Уязвимость обработчика CGI-запросов панели управления хостингом Webmin связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями
CVE-2022-36446software/apt-lib.pl в Webmin до версии 1.997 не хватает экранирования HTML для команды пользовательского интерфейса.
CVE-2020-35769miniserv.pl в Webmin 1.962 в Windows неправильно обрабатывает специальные символы в аргументах запроса к программе CGI.
CVE-2019-15107В Webmin версий <=1.920 обнаружена проблема. Параметр old в password_change.cgi содержит уязвимость внедрения команд.
CVE-2018-8712Проблема была обнаружена в Webmin 1.840 и 1.880, когда включена настройка "Может просматривать любой файл как файл журнала", установленная по умолчанию в значение Да. В результате слабых настроек конфигурации по умолчанию ограниченные пользователи имеют полные права доступа к основным файлам Unix, что позволяет пользователю читать конфиденциальные данные из локальной системы (с использованием Local File Include), такие как файл '/etc/shadow' через запрос "GET /syslog/save_log.cgi?view=1&file=/etc/shadow".
BDU:2022-04933Уязвимость компонента software/apt-lib.pl панели управления хостингом Webmin связана с недостатком механизма кодирование или экранирование выходных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код
BDU:2019-02968Уязвимость компонента password_change.cgi веб-интерфейса системного администрирования для UNIX-подобных операционных систем Webmin связана с некорректной нейтрализацией используемых в команде специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в целевой системе посредством отправки вредоносного POST-запроса
CVE-2021-32157В Webmin 1.973 существует уязвимость межсайтового скриптинга (XSS) через функцию Scheduled Cron Jobs.
CVE-2021-31761Webmin 1.973 подвержен отраженному межсайтовому скриптингу (XSS) для достижения удаленного выполнения команд через функцию запущенного процесса Webmin.
CVE-2002-2360Модуль RPC в Webmin 0.21 - 0.99, если установлен без прав root или администратора, позволяет удаленным злоумышленникам читать и записывать произвольные файлы и выполнять произвольные команды через запросы remote_foreign_require и remote_foreign_call.
CVE-2007-5066Неуказанная уязвимость в Webmin до версии 1.370 в Windows позволяет удаленным аутентифицированным пользователям выполнять произвольные команды через специально созданный URL-адрес.
CVE-2024-36451В модуле ajaxterm в Webmin версий до 2.003 существует уязвимость, связанная с неправильной обработкой недостаточных разрешений или привилегий. Если эта уязвимость будет использована, сеанс консоли может быть перехвачен неавторизованным пользователем. В результате данные в системе могут быть запрошены, веб-страница может быть изменена или сервер может быть навсегда остановлен.
CVE-2024-12828Уязвимость удаленного выполнения кода через внедрение команд в Webmin CGI. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на уязвимых установках Webmin. Для эксплуатации этой уязвимости требуется аутентификация.
Конкретная ошибка существует в обработке CGI-запросов. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-22346.
CVE-2022-35132Usermin до версии 1.850 позволяет удаленному аутентифицированному пользователю выполнять команды ОС через внедрение команд в имя файла для модуля GPG.
CVE-2022-30708Webmin до версии 1.991, когда используется тема Authentic, допускает удаленное выполнение кода, когда пользователь был создан вручную (то есть не создан в Virtualmin или Cloudmin). Это происходит потому, что settings-editor_write.cgi неправильно ограничивает параметр file.
CVE-2022-0824Неправильный контроль доступа к удаленному выполнению кода в репозитории GitHub webmin/webmin до версии 1.990.
CVE-2021-32162В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию File Manager.
CVE-2021-32159В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию Upload and Download.
CVE-2021-32156В Webmin 1.973 существует уязвимость межсайтовой подделки запросов (CSRF) через функцию Scheduled Cron Jobs.
CVE-2021-31762Webmin 1.973 подвержен подделке межсайтовых запросов (CSRF) для создания привилегированного пользователя через функцию добавления пользователей Webmin, а затем получения обратной оболочки через функцию запущенного процесса Webmin.
CVE-2021-31760Webmin 1.973 подвержен подделке межсайтовых запросов (CSRF) для достижения удаленного выполнения команд (RCE) через функцию запущенного процесса Webmin.