Unix用管理ツールWebmin にセッションID偽装の脆弱性 | ScanNetSecurity
2026.06.12(金)

Unix用管理ツールWebmin にセッションID偽装の脆弱性

 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアで

国際 海外情報
29 views
facebookLINE
 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアでは、Web を経由したアクセス管理のために使用するセッションID の作成や確認、およびパスワードタイムアウトの設定などの処理の際に、親プロセスと子プロセス間でパイプを使用した通信を行っている。このとき、認証情報として渡されるデータ中に含まれる制御文字の排除が行われていない。これを利用することで、任意のセッション ID とユーザの組み合わせがログイン済みであると Webmin および Usermin に認識させられる。これを利用して Webmin の機能を利用することができた場合、root 権限で任意のコマンドを実行することができる可能性がある。


Webmin 1.050 - 1.060 remote exploit
http://msgs.securepoint.com/bugtraq/

Webmin/Usermin Session ID Spoofing Vulnerability
http://www.lac.co.jp/security/intelligence/SNSAdvisory/53.html


告知:
SCAN シリーズ まるとく・セキュリティ商品 4大キャンペーン!3月末まで!
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』 創刊!
http://shop.vagabond.co.jp/m-ssm01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ディスクユニオンのウェブサイトで不審な認証画面が表示される事象

    ディスクユニオンのウェブサイトで不審な認証画面が表示される事象

  2. 中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

    中学校でサポート詐欺被害、口座から 100 円と 999 万 9,999 円の送金

  3. CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

    CAMPFIRE への不正アクセス、従業員が発行した GitHub 認証情報が個人開発で利用していたサーバ上に意図せずアップロードされ不正利用

  4. 広島県が朝刊の広告に誤って管理者用二次元コードを掲載 ~ 申込者の個人情報が閲覧可能に

    広島県が朝刊の広告に誤って管理者用二次元コードを掲載 ~ 申込者の個人情報が閲覧可能に

  5. 東芝ウェブサイトの一部で不審なサインイン画面、6 / 4 対応完了

    東芝ウェブサイトの一部で不審なサインイン画面、6 / 4 対応完了

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP