webmin 跨站脚本漏洞

CVE编号

CVE-2011-1937

利用情况

暂无

补丁情况

N/A

披露时间

2011-06-01

漏洞描述

Cross-site scripting (XSS) vulnerability in Webmin 1.540 and earlier allows local users to inject arbitrary web script or HTML via a chfn command that changes the real (aka Full Name) field, related to useradmin/index.cgi and useradmin/user-lib.pl.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://javierb.com.ar/2011/04/24/xss-webmin-1-540/
http://openwall.com/lists/oss-security/2011/05/22/1
http://openwall.com/lists/oss-security/2011/05/24/7
http://securityreason.com/securityalert/8264
http://securitytracker.com/id?1025438
http://www.mandriva.com/security/advisories?name=MDVSA-2011:109
http://www.securityfocus.com/archive/1/517658
http://www.securityfocus.com/bid/47558
http://www.youtube.com/watch?v=CUO7JLIGUf0
https://github.com/webmin/webmin/commit/46e3d3ad195dcdc1af1795c96b6e0dc778fb6881

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	webmin	webmin	*		Up to (including) 1.540
	运行在以下环境
	应用	webmin	webmin	0.75	-
	运行在以下环境
	应用	webmin	webmin	0.76	-
	运行在以下环境
	应用	webmin	webmin	0.77	-
	运行在以下环境
	应用	webmin	webmin	0.78	-
	运行在以下环境
	应用	webmin	webmin	0.79	-
	运行在以下环境
	应用	webmin	webmin	0.80	-
	运行在以下环境
	应用	webmin	webmin	0.81	-
	运行在以下环境
	应用	webmin	webmin	0.82	-
	运行在以下环境
	应用	webmin	webmin	0.83	-
	运行在以下环境
	应用	webmin	webmin	0.84	-
	运行在以下环境
	应用	webmin	webmin	0.85	-
	运行在以下环境
	应用	webmin	webmin	0.86	-
	运行在以下环境
	应用	webmin	webmin	0.87	-
	运行在以下环境
	应用	webmin	webmin	0.88	-
	运行在以下环境
	应用	webmin	webmin	0.91	-
	运行在以下环境
	应用	webmin	webmin	0.92	-
	运行在以下环境
	应用	webmin	webmin	0.93	-
	运行在以下环境
	应用	webmin	webmin	0.94	-
	运行在以下环境
	应用	webmin	webmin	0.950	-
	运行在以下环境
	应用	webmin	webmin	0.960	-
	运行在以下环境
	应用	webmin	webmin	0.970	-
	运行在以下环境
	应用	webmin	webmin	0.980	-
	运行在以下环境
	应用	webmin	webmin	0.990	-
	运行在以下环境
	应用	webmin	webmin	1.000	-
	运行在以下环境
	应用	webmin	webmin	1.010	-
	运行在以下环境
	应用	webmin	webmin	1.020	-
	运行在以下环境
	应用	webmin	webmin	1.030	-
	运行在以下环境
	应用	webmin	webmin	1.040	-
	运行在以下环境
	应用	webmin	webmin	1.050	-
	运行在以下环境
	应用	webmin	webmin	1.060	-
	运行在以下环境
应用	webmin	webmin	1.070	-
运行在以下环境
应用	webmin	webmin	1.080	-
运行在以下环境
应用	webmin	webmin	1.090	-
运行在以下环境
应用	webmin	webmin	1.100	-
运行在以下环境
应用	webmin	webmin	1.110	-
运行在以下环境
应用	webmin	webmin	1.121	-
运行在以下环境
应用	webmin	webmin	1.130	-
运行在以下环境
应用	webmin	webmin	1.140	-
运行在以下环境
应用	webmin	webmin	1.150	-
运行在以下环境
应用	webmin	webmin	1.160	-
运行在以下环境
应用	webmin	webmin	1.170	-
运行在以下环境
应用	webmin	webmin	1.180	-
运行在以下环境
应用	webmin	webmin	1.190	-
运行在以下环境
应用	webmin	webmin	1.200	-
运行在以下环境
应用	webmin	webmin	1.210	-
运行在以下环境
应用	webmin	webmin	1.220	-
运行在以下环境
应用	webmin	webmin	1.230	-
运行在以下环境
应用	webmin	webmin	1.240	-
运行在以下环境
应用	webmin	webmin	1.250	-
运行在以下环境
应用	webmin	webmin	1.260	-
运行在以下环境
应用	webmin	webmin	1.270	-
运行在以下环境
应用	webmin	webmin	1.280	-
运行在以下环境
应用	webmin	webmin	1.290	-
运行在以下环境
应用	webmin	webmin	1.300	-
运行在以下环境
应用	webmin	webmin	1.310	-
运行在以下环境
应用	webmin	webmin	1.320	-
运行在以下环境
应用	webmin	webmin	1.330	-
运行在以下环境
应用	webmin	webmin	1.340	-
运行在以下环境
应用	webmin	webmin	1.350	-
运行在以下环境
应用	webmin	webmin	1.360	-
运行在以下环境
应用	webmin	webmin	1.370	-
运行在以下环境
应用	webmin	webmin	1.380	-
运行在以下环境
应用	webmin	webmin	1.390	-
运行在以下环境
应用	webmin	webmin	1.400	-
运行在以下环境
应用	webmin	webmin	1.410	-
运行在以下环境
应用	webmin	webmin	1.420	-
运行在以下环境
应用	webmin	webmin	1.430	-
运行在以下环境
应用	webmin	webmin	1.440	-
运行在以下环境
应用	webmin	webmin	1.441	-
运行在以下环境
应用	webmin	webmin	1.450	-
运行在以下环境
应用	webmin	webmin	1.460	-
运行在以下环境
应用	webmin	webmin	1.470	-
运行在以下环境
应用	webmin	webmin	1.480	-
运行在以下环境
应用	webmin	webmin	1.490	-
运行在以下环境
应用	webmin	webmin	1.500	-
运行在以下环境
应用	webmin	webmin	1.510	-
运行在以下环境
应用	webmin	webmin	1.520	-
运行在以下环境
应用	webmin	webmin	1.530	-

CVSS3评分 4.3

• 攻击路径 网络
• 攻击复杂度 N/A
• 权限要求 无
• 影响范围 N/A
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 部分地

AV:N/AC:M/Au:N/C:N/I:P/A:N

CWE-ID	漏洞类型
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）

Exp相关链接

- avd.aliyun.com