Webmin是一個(gè)用于類Unix的基于Web的系統(tǒng)管理工具,并且在全球范圍內(nèi)安裝數(shù)超過(guò)1,000,000。使用Webmin可以很容易地配置操作系統(tǒng)內(nèi)部組件��。
2021年4月25日����,白帽匯安全研究院監(jiān)測(cè)到,Webmin通告了多個(gè)CVE漏洞�。
CVE-2021-31760
利用CSRF攻擊,實(shí)現(xiàn)對(duì)Webmin的遠(yuǎn)程命令執(zhí)行��。
CVE-2021-31761
利用XSS攻擊�,實(shí)現(xiàn)對(duì)Webmin的遠(yuǎn)程命令執(zhí)行。
CVE-2021-31762
利用CSRF攻擊����,通過(guò)Webmin的添加用戶功能創(chuàng)建特權(quán)用戶,然后通過(guò)特權(quán)用戶權(quán)限反彈shell����。
CVE 編號(hào)
CVE-2021-31760
CVE-2021-31761
CVE-2021-31762
FOFA查詢
app="Webmin"
影響范圍
根據(jù)目前FOFA系統(tǒng)最新數(shù)據(jù)(一年內(nèi)數(shù)據(jù)),顯示全球范圍內(nèi)(app="Webmin")共有 527,906 個(gè)相關(guān)服務(wù)對(duì)外開放�。美國(guó)使用數(shù)量最多,共有 259045 個(gè)���;德國(guó)第二���,共有 111404 個(gè)�;法國(guó)第三���,共有 100208 個(gè)���;日本第四,共有 33654 個(gè)����;加拿大第五,共有 30849個(gè)����。
全球范圍內(nèi)分布情況如下(僅為分布情況,非漏洞影響情況)
中國(guó)大陸地區(qū)廣東使用數(shù)量最多���,共有1513 個(gè)�;上海第二����,共有 902 個(gè);云南第三����,共有 674 個(gè)�;江蘇第四��,共有 661 個(gè)����;北京第五�����,共有 406 個(gè)�����。
修復(fù)建議
目前官方尚未發(fā)布更新版本����,相關(guān)用戶可以持續(xù)關(guān)注Webmin的更新。地址:https://github.com/webmin/webmin
參考來(lái)源
https://nosec.org/home/detail/4744.html
