Unix用管理ツールWebmin にセッションID偽装の脆弱性 | ScanNetSecurity
2025.12.20(土)

Unix用管理ツールWebmin にセッションID偽装の脆弱性

 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアで

国際 海外情報
29 views
facebookLINE
 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアでは、Web を経由したアクセス管理のために使用するセッションID の作成や確認、およびパスワードタイムアウトの設定などの処理の際に、親プロセスと子プロセス間でパイプを使用した通信を行っている。このとき、認証情報として渡されるデータ中に含まれる制御文字の排除が行われていない。これを利用することで、任意のセッション ID とユーザの組み合わせがログイン済みであると Webmin および Usermin に認識させられる。これを利用して Webmin の機能を利用することができた場合、root 権限で任意のコマンドを実行することができる可能性がある。


Webmin 1.050 - 1.060 remote exploit
http://msgs.securepoint.com/bugtraq/

Webmin/Usermin Session ID Spoofing Vulnerability
http://www.lac.co.jp/security/intelligence/SNSAdvisory/53.html


告知:
SCAN シリーズ まるとく・セキュリティ商品 4大キャンペーン!3月末まで!
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』 創刊!
http://shop.vagabond.co.jp/m-ssm01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

    アスクル社長「可能な限り詳細にご報告いたします。サイバー攻撃対策の一助となりましたら幸い」

  2. 横須賀学院にランサムウェア攻撃、複数の写真や動画等の流出が判明

    横須賀学院にランサムウェア攻撃、複数の写真や動画等の流出が判明

  3. 約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

    約 4 割が「二段階認証使いにくい」金融取引の認証意識調査結果

  4. 駿河屋.JP への不正アクセス、30,431 件のカード情報漏えいの可能性

    駿河屋.JP への不正アクセス、30,431 件のカード情報漏えいの可能性

  5. 第三者がセキュリティソフトを無効化 ~ 審調社へのランサムウェア攻撃

    第三者がセキュリティソフトを無効化 ~ 審調社へのランサムウェア攻撃

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP