首頁 > 安全研究 > 安全通報 > 安全通告

Webmin 4月多個安全漏洞

發布時間 2021-04-25

0x00 漏洞概述

產品名稱

CVE ID

類   型

漏洞等級

遠程利用

影響范圍

Webmin

CVE-2021-31760

RCE

高危

Webmin <= 1.973

CVE-2021-31761

RCE

高危

CVE-2021-31762

RCE

高危

 

0x01 漏洞詳情

image.png

Webmin是一個基于Web的Unix系統管理工具,管理員可以通過瀏覽器(HTTPS)訪問Webmin以實現WEB界面管理主機,它在全球范圍內已經超過百萬次安裝。

近日,Webmin被披露存在多個安全漏洞,漏洞追蹤為CVE-2021-31760、CVE-2021-31761和CVE-2021-31762。攻擊者可以通過發起CSRF或XSS攻擊,最終實現遠程命令執行。目前這些漏洞的PoC/EXP已公開。

Webmin遠程命令執行漏洞(CVE-2021-31760)

攻擊者可以通過跨站請求偽造(CSRF)攻擊實現遠程命令執行。

image.png

 

 

Webmin遠程命令執行漏洞(CVE-2021-31761)

攻擊者可以通過反射型跨站腳本(XSS)攻擊實現遠程命令執行。

image.png

 

 

Webmin遠程命令執行漏洞(CVE-2021-31762)

攻擊者可以利用跨站請求偽造(CSRF)攻擊通過Webmin的添加用戶功能創建一個特權用戶,然后反彈shell獲取權限。

image.png

 

 

0x02 處置建議

目前Github中Webmin的最新版本為1.973,暫未發布更高版本或安全更新來修復此漏洞,建議關注Webmin的安全更新。

下載鏈接:

https://github.com/webmin/webmin

 

0x03 參考鏈接

https://github.com/electronicbots/CVE-2021-31760

https://github.com/electronicbots/CVE-2021-31761

https://github.com/electronicbots/CVE-2021-31762

https://github.com/electronicbots/CVE-2021-31760/blob/main/RCE_eXploit.py

https://github.com/electronicbots/CVE-2021-31761/blob/main/eXploit.py

https://github.com/electronicbots/CVE-2021-31762/blob/main/eXploit.py

 

0x04 時間線

2021-04-25  漏洞公開

2021-04-25  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇