Webmin 4月多个安全漏洞
发布时间 2021-04-250x00 漏洞概述
产品名称 | CVE ID | 类 型 | 漏洞等级 | 远程利用 | 影响范围 |
Webmin | CVE-2021-31760 | RCE | 高危 | 是 | Webmin <= 1.973 |
CVE-2021-31761 | RCE | 高危 | 是 | ||
CVE-2021-31762 | RCE | 高危 | 是 |
0x01 漏洞详情
Webmin是一个基于Web的Unix系统管理工具,管理员可以通过浏览器(HTTPS)访问Webmin以实现WEB界面管理主机,它在全球范围内已经超过百万次安装。
近日,Webmin被披露存在多个安全漏洞,漏洞追踪为CVE-2021-31760、CVE-2021-31761和CVE-2021-31762。攻击者可以通过发起CSRF或XSS攻击,最终实现远程命令执行。目前这些漏洞的PoC/EXP已公开。
Webmin远程命令执行漏洞(CVE-2021-31760)
攻击者可以通过跨站请求伪造(CSRF)攻击实现远程命令执行。
Webmin远程命令执行漏洞(CVE-2021-31761)
攻击者可以通过反射型跨站脚本(XSS)攻击实现远程命令执行。
Webmin远程命令执行漏洞(CVE-2021-31762)
攻击者可以利用跨站请求伪造(CSRF)攻击通过Webmin的添加用户功能创建一个特权用户,然后反弹shell获取权限。
0x02 处置建议
目前Github中Webmin的最新版本为1.973,暂未发布更高版本或安全更新来修复此漏洞,建议关注Webmin的安全更新。
下载链接:
https://github.com/webmin/webmin
0x03 参考链接
https://github.com/electronicbots/CVE-2021-31760
https://github.com/electronicbots/CVE-2021-31761
https://github.com/electronicbots/CVE-2021-31762
https://github.com/electronicbots/CVE-2021-31760/blob/main/RCE_eXploit.py
https://github.com/electronicbots/CVE-2021-31761/blob/main/eXploit.py
https://github.com/electronicbots/CVE-2021-31762/blob/main/eXploit.py
0x04 时间线
2021-04-25 漏洞公开
2021-04-25 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号