Webmin <= 1.941 多個弱點

medium Nessus Plugin ID 146531

Synopsis

遠端 Web 伺服器受到多個弱點影響。

描述

根據其自我報告的版本,遠端主機上執行的 Webmin 版本受到多個弱點影響,包括:

- Webmin 1.941 和更舊版本中有一個 XSS 弱點,會影響 Cluster Shell Commands 端點。
使用者可在「Command」欄位中輸入任何 XSS 承載並執行。然後,在再次造訪 Cluster Shell Commands Menu 後,程式會轉譯並執行 XSS 承載。(CVE-2020-8820)

- Webmin 1.941 和更舊版本中有一個 XSS 弱點,會影響 Cluster Shell Commands 端點。使用者可在「Command」欄位中輸入 HTML 程式碼並提交。然後,在造訪 Action Logs Menu 並顯示記錄之後,程式會轉譯 HTML 程式碼 (但不會執行 JavaScript)。
在各使用者中保留變更。(CVE-2020-8821)

- Webmin 1.941 和更舊版本中存在 XSS 弱點,在嘗試儲存 HTML 電子郵件時,此弱點會影響讀取使用者電子郵件模組/信箱端點的「Save 」函式。此模組會在不清理 SCRIPT 元素的情況下剖析任何輸出,這與「View」函式相反,後者會正確清理輸入。惡意使用者可將任何 JavaScript 承載傳送至訊息內文並在使用者決定儲存該電子郵件時執行此承載。(CVE-2020-12670)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Webmin 1.953 或更新版本。

另請參閱

http://www.webmin.com/changes.html

http://www.webmin.com/security.html

Plugin 詳細資訊

嚴重性: Medium

ID: 146531

檔案名稱: webmin_1_953.nasl

版本: 1.2

類型: remote

已發布: 2021/2/16

已更新: 2021/2/19

組態: 啟用 Paranoid 模式

風險資訊

VPR

風險因素: Low

分數: 3

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2020-12670

CVSS v3

風險因素: Medium

基本分數: 6.1

時間分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:webmin:webmin

必要的 KB 項目: www/webmin, Settings/ParanoidReport

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/10/12

弱點發布日期: 2020/10/12

參考資訊

CVE: CVE-2020-8820, CVE-2020-8821, CVE-2020-12670