Összefoglaló
A Webmin és a Usermin egy sérülékenységét fedezték fel, melyet rosszindulatú támadók cross-site scripting támadások véghezvitelére használhatnak.
Leírás
A Webmin és a Usermin egy sérülékenységét fedezték fel, melyet rosszindulatú támadók cross-site scripting támadások véghezvitelére használhatnak.
A “search” paraméternek átadott bevitel a webmin_search.cgi-ben nincs megfelelően ellenőrizve mielőtt visszakerülne a felhasználóhoz. Ez kihasználható tetszőleges HTML és script kód futtatására mialatt a felhasználó az érintett oldalak között böngészik.
A sikeres kiaknázás előfeltétele az, hogy a cél felhasználónak legyen érvényes felhasználói jogosultsága és olyan böngészőt használjon, ami nem küldi el a HTTP fejléc “Referer” mezőjének értékét meta frissítések végrehajtásakor (többek között: Mozilla Firefox és Internet Explorer).
A sérülékenységet a Webmin 1.390 verziójánál és a Usermin 1.320. verziójánál ismerték el. Más verziók is érintettek lehetnek.
Megoldás
Ne böngésszen megbízhatatlan weboldalakat, ha be van jelentkezve a Webminbe vagy a Userminbe!
Támadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: forum.aria-security.net
SECUNIA 28827