文章总结： Webmin2.641版本修复了三个安全漏洞，最严重的CVE-2026-56020（CVSS9.2）允许攻击者通过伪造HTTP头部绕过身份验证并冒充任意用户。另两个漏洞CVE-2026-56022和CVE-2026-56021（均CVSS6.9）可绕过多因素认证并泄露配置文件。影响所有2.641之前版本，建议立即升级并限制网络访问。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,解决方案,应用安全,网络安全

Webmin 2.641 修复三个漏洞，其中包括一个严重的身份验证绕过漏洞

sec随谈 sec随谈

sec随谈

2026年6月24日 09:10 北京

在小说阅读器读本章

去阅读

简要概述

Webmin 发布了 2.641 版本，修复了三个安全漏洞。其中最严重的一个允许未经身份验证的攻击者冒充任意用户。另外两个漏洞可绕过多因素认证（MFA）并暴露配置文件。目前尚未发现公开的漏洞利用案例。

为何值得关注

Webmin 是运行在类 Unix 服务器上的基于 Web 的管理面板，每年估计安装量达 100 万次。因此，一个漏洞就可能让攻击者控制大量系统。该工具管理着用户、服务、DNS 服务器和数据库，一旦被攻破，整个技术栈都将面临风险。此外，管理面板处于服务器信任体系的核心位置，进一步提升了威胁等级。

攻击方式

CVE-2026-56020（CVSS 9.2）

Webmin 的 HTTP 服务器 miniserv.pl 会信任伪造的 HTTP 头部。因此，远程攻击者可以伪造证书 DN，无需凭据即可以任意已配置用户的身份进行身份验证。这是本次最严重的漏洞。

CVE-2026-56022（CVSS 6.9）

通过构造 User-Agent: webmin 头部，可使 Webmin 在没有会话 Cookie 的情况下接受基本认证，从而绕过额外的 MFA 检查。

CVE-2026-56021（CVSS 6.9）

由于正则表达式存在绕过缺陷，未经身份验证的用户可读取模块目录中任意以 .conf 结尾的文件，进而获取配置信息和敏感凭据。

受影响版本

上述三个漏洞均影响 2.641 版本之前的所有 Webmin 发行版，且在默认配置下即可触发，并非仅限于特殊配置场景。详细信息可参阅官方安全公告。

补丁与缓解措施

请立即升级至 Webmin 2.641，该版本已修复上述全部三个漏洞，可从官方发布页面获取。目前没有可替代补丁的独立缓解方案，请尽快完成升级。在升级之前，建议限制对 Webmin 端口的网络访问，同时监控日志中异常的 User-Agent 字符串及意外的证书登录行为。

参考链接：

https://webmin.com/security/#webmin-prior-to-2641

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Webmin 2.641 修复三个漏洞，其中包括一个严重的身份验证绕过漏洞》