南宫NG娱乐

首页 > 清静研究 > 清静转达 > 清静通告

Webmin 4月多个清静误差

宣布时间 2021-04-25

0x00 误差概述

产品名称	CVE ID	类型	误差品级	远程使用	影响规模
Webmin	CVE-2021-31760	RCE	高危	是	Webmin <= 1.973
	CVE-2021-31761	RCE	高危	是
	CVE-2021-31762	RCE	高危	是

0x01 误差详情

Webmin是一个基于Web的Unix系统治理工具，，，，，治理员可以通过浏览器（HTTPS）会见Webmin以实现WEB界面治理主机，，，，，它在全球规模内已经凌驾百万次装置。。

克日，，，，，Webmin被披露保存多个清静误差，，，，，误差追踪为CVE-2021-31760、CVE-2021-31761和CVE-2021-31762。。攻击者可以通过提倡CSRF或XSS攻击，，，，，最终实现远程下令执行。。现在这些误差的PoC/EXP已果真。。

Webmin远程下令执行误差（CVE-2021-31760）

攻击者可以通过跨站请求伪造（CSRF）攻击实现远程下令执行。。

Webmin远程下令执行误差（CVE-2021-31761）

攻击者可以通过反射型跨站剧本（XSS）攻击实现远程下令执行。。

Webmin远程下令执行误差（CVE-2021-31762）

攻击者可以使用跨站请求伪造（CSRF）攻击通过Webmin的添加用户功效建设一个特权用户，，，，，然后反弹shell获取权限。。

0x02 处置惩罚建议

现在Github中Webmin的最新版本为1.973，，，，，暂未宣布更高版本或清静更新来修复此误差，，，，，建议关注Webmin的清静更新。。

下载链接：

https://github.com/webmin/webmin

0x03 参考链接

https://github.com/electronicbots/CVE-2021-31760

https://github.com/electronicbots/CVE-2021-31761

https://github.com/electronicbots/CVE-2021-31762

https://github.com/electronicbots/CVE-2021-31760/blob/main/RCE_eXploit.py

https://github.com/electronicbots/CVE-2021-31761/blob/main/eXploit.py

https://github.com/electronicbots/CVE-2021-31762/blob/main/eXploit.py

0x04 时间线

2021-04-25 误差果真

2021-04-25 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 南宫NG娱乐版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】