近日�,國家信息安全漏洞庫(CNNVD)收到關于Webmin命令注入漏洞(CNNVD-201908-1151、CVE-2019-15107)情況的報送���。攻擊者利用該漏洞可以進行遠程代碼執(zhí)行攻擊��。Webmin 1.920及其以下版本均受漏洞影響���。目前,Webmin官方已發(fā)布了Webmin 1.930版本修復該漏洞�,建議用戶及時確認是否受到漏洞影響�����,盡快采取修補措施�����。
一���、漏洞介紹
Webmin是一套基于Web的用于Unix操作系統(tǒng)中的系統(tǒng)管理工具���。Webmin 1.920及之前版本中的password_change.cgi文件的‘old’參數(shù)存在命令注入漏洞�,漏洞源于外部輸入數(shù)據(jù)構造可執(zhí)行命令過程中����,工具未正確過濾其中的特殊元素。攻擊者可利用該漏洞執(zhí)行惡意代碼�。
二��、危害影響
成功利用上述漏洞的攻擊者可在無需輸入驗證的情況下執(zhí)行惡意代碼�,最終控制目標主機�。Webmin 1.920及其以下版本均受漏洞影響。
三�、修復建議
目前����,Webmin官方已發(fā)布了Webmin 1.930版本修復該漏洞,建議用戶及時確認是否受到漏洞影響���,盡快采取修補措施。官方鏈接如下:
http://www.webmin.com/security.html
本通報由CNNVD技術支撐單位——知道創(chuàng)宇404實驗室提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關情況��,及時發(fā)布相關信息。如有需要�,可與CNNVD聯(lián)系。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
