【安全通告】Webmin多个漏洞安全风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Webmin披露出多个漏洞,可导致CSRF、XSS、任意命令执行等问题,漏洞编号CVE-2021-31760、CVE-2021-31761、CVE-2021-31762。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Webmin是一个基于Web的Unix系统管理工具。管理员可通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。
CVE-2021-31760:
利用跨站点请求伪造(CSRF)漏洞导致的Webmin远程命令执行
CVE-2021-31761:
利用反射跨站点脚本(XSS)漏洞导致的Webmin远程命令执行
CVE-2021-31762:
利用跨站点请求伪造(CSRF)漏洞通过Webmin的添加用户功能创建特权用户,然后通过Webmin的运行过程功能反弹shell
风险等级
高
漏洞风险
攻击者可利用该漏洞执行命令
影响版本
Webmin < 1.973
安全版本
官方暂未发布更新版本
修复建议
官方暂未发布更新版本,可通过限制相关组件的访问等临时措施进行规避
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考