Webmin / Usermin “search” cross-site scripting sebezhetőség

CH azonosító

CH-980

Felfedezés dátuma

2008.02.06.

Súlyosság

Közepes

Érintett rendszerek

Usermin
Webmin

Érintett verziók

Webmin Webmin 1.x
Webmin Usermin 1.x

Összefoglaló

A Webmin és a Usermin egy sérülékenységét fedezték fel, melyet rosszindulatú támadók cross-site scripting támadások véghezvitelére használhatnak.

Leírás

A Webmin és a Usermin egy sérülékenységét fedezték fel, melyet rosszindulatú támadók cross-site scripting támadások véghezvitelére használhatnak.

A “search” paraméternek átadott bevitel a webmin_search.cgi-ben nincs megfelelően ellenőrizve mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására mialatt a felhasználó az érintett oldalak között böngészik.

A sikeres kiaknázás előfeltétele az, hogy a cél felhasználónak legyen érvényes felhasználói jogosultsága és olyan böngészőt használjon, ami nem küldi el a HTTP fejléc “Referer” mezőjének értékét meta frissítések végrehajtásakor (többek között: Mozilla Firefox és Internet Explorer).

A sérülékenységet a Webmin 1.390 verziójánál és a Usermin 1.320. verziójánál ismerték el. Más verziók is érintettek lehetnek.

Megoldás

Ne böngésszen megbízhatatlan weboldalakat, ha be van jelentkezve a Webminbe vagy a Userminbe!


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »