Webmin Usermin远程命令注入漏洞

CVE编号

CVE-2014-3883

利用情况

暂无

补丁情况

N/A

披露时间

2014-06-22

漏洞描述

Webmin是一款基于WEB的Unix和Linux操作系统系统管理接口。 Webmin 1.600之前版本存在远程命令注入漏洞，攻击者可利用此漏洞在受影响应用上下文中执行任意OS命令。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.webmin.com/webmin/

参考链接
http://jvn.jp/en/jp/JVN48805624/index.html
http://jvndb.jvn.jp/jvndb/JVNDB-2014-000057
https://www.ipa.go.jp/security/ciadr/vul/20140620-jvn.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	webmin	usermin	*		Up to (including) 1.590
	运行在以下环境
	应用	webmin	usermin	0.4	-
	运行在以下环境
	应用	webmin	usermin	0.5	-
	运行在以下环境
	应用	webmin	usermin	0.6	-
	运行在以下环境
	应用	webmin	usermin	0.7	-
	运行在以下环境
	应用	webmin	usermin	0.80	-
	运行在以下环境
	应用	webmin	usermin	0.90	-
	运行在以下环境
	应用	webmin	usermin	0.910	-
	运行在以下环境
	应用	webmin	usermin	0.929	-
	运行在以下环境
	应用	webmin	usermin	0.930	-
	运行在以下环境
	应用	webmin	usermin	0.940	-
	运行在以下环境
	应用	webmin	usermin	0.950	-
	运行在以下环境
	应用	webmin	usermin	0.960	-
	运行在以下环境
	应用	webmin	usermin	0.970	-
	运行在以下环境
	应用	webmin	usermin	0.980	-
	运行在以下环境
	应用	webmin	usermin	0.990	-
	运行在以下环境
	应用	webmin	usermin	1.000	-
	运行在以下环境
	应用	webmin	usermin	1.010	-
	运行在以下环境
	应用	webmin	usermin	1.020	-
	运行在以下环境
	应用	webmin	usermin	1.030	-
	运行在以下环境
	应用	webmin	usermin	1.040	-
	运行在以下环境
	应用	webmin	usermin	1.050	-
	运行在以下环境
	应用	webmin	usermin	1.051	-
	运行在以下环境
	应用	webmin	usermin	1.060	-
	运行在以下环境
	应用	webmin	usermin	1.070	-
	运行在以下环境
	应用	webmin	usermin	1.080	-
	运行在以下环境
	应用	webmin	usermin	1.090	-
	运行在以下环境
	应用	webmin	usermin	1.100	-
	运行在以下环境
	应用	webmin	usermin	1.110	-
	运行在以下环境
	应用	webmin	usermin	1.120	-
	运行在以下环境
	应用	webmin	usermin	1.130	-
	运行在以下环境
应用	webmin	usermin	1.140	-
运行在以下环境
应用	webmin	usermin	1.150	-
运行在以下环境
应用	webmin	usermin	1.160	-
运行在以下环境
应用	webmin	usermin	1.170	-
运行在以下环境
应用	webmin	usermin	1.180	-
运行在以下环境
应用	webmin	usermin	1.190	-
运行在以下环境
应用	webmin	usermin	1.200	-
运行在以下环境
应用	webmin	usermin	1.210	-
运行在以下环境
应用	webmin	usermin	1.220	-
运行在以下环境
应用	webmin	usermin	1.230	-
运行在以下环境
应用	webmin	usermin	1.240	-
运行在以下环境
应用	webmin	usermin	1.250	-
运行在以下环境
应用	webmin	usermin	1.260	-
运行在以下环境
应用	webmin	usermin	1.270	-
运行在以下环境
应用	webmin	usermin	1.280	-
运行在以下环境
应用	webmin	usermin	1.290	-
运行在以下环境
应用	webmin	usermin	1.300	-
运行在以下环境
应用	webmin	usermin	1.310	-
运行在以下环境
应用	webmin	usermin	1.320	-
运行在以下环境
应用	webmin	usermin	1.330	-
运行在以下环境
应用	webmin	usermin	1.340	-
运行在以下环境
应用	webmin	usermin	1.350	-
运行在以下环境
应用	webmin	usermin	1.360	-
运行在以下环境
应用	webmin	usermin	1.370	-
运行在以下环境
应用	webmin	usermin	1.380	-
运行在以下环境
应用	webmin	usermin	1.390	-
运行在以下环境
应用	webmin	usermin	1.400	-
运行在以下环境
应用	webmin	usermin	1.410	-
运行在以下环境
应用	webmin	usermin	1.420	-
运行在以下环境
应用	webmin	usermin	1.430	-
运行在以下环境
应用	webmin	usermin	1.440	-
运行在以下环境
应用	webmin	usermin	1.450	-
运行在以下环境
应用	webmin	usermin	1.460	-
运行在以下环境
应用	webmin	usermin	1.470	-
运行在以下环境
应用	webmin	usermin	1.480	-
运行在以下环境
应用	webmin	usermin	1.490	-
运行在以下环境
应用	webmin	usermin	1.500	-
运行在以下环境
应用	webmin	usermin	1.510	-
运行在以下环境
应用	webmin	usermin	1.520	-
运行在以下环境
应用	webmin	usermin	1.530	-
运行在以下环境
应用	webmin	usermin	1.540	-
运行在以下环境
应用	webmin	usermin	1.550	-
运行在以下环境
应用	webmin	usermin	1.560	-
运行在以下环境
应用	webmin	usermin	1.570	-
运行在以下环境
应用	webmin	usermin	1.580	-

CVSS3评分 6.8

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 无
• 可用性 部分地
• 保密性 部分地
• 完整性 部分地

AV:N/AC:M/Au:N/C:P/I:P/A:P

CWE-ID	漏洞类型
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

Exp相关链接

- avd.aliyun.com