Unix用管理ツールWebmin にセッションID偽装の脆弱性 | ScanNetSecurity
2026.03.04(水)

Unix用管理ツールWebmin にセッションID偽装の脆弱性

 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアで

国際 海外情報
29 views
facebookLINE
 Webmin および Usermin の親プロセスと子プロセス間の通信において、任意のユーザでログイン済みであるかのようなセッション ID を偽造できる脆弱性が発見された。ログインしていないユーザがこれらのソフトウェアを利用することが可能となる。これらのソフトウェアでは、Web を経由したアクセス管理のために使用するセッションID の作成や確認、およびパスワードタイムアウトの設定などの処理の際に、親プロセスと子プロセス間でパイプを使用した通信を行っている。このとき、認証情報として渡されるデータ中に含まれる制御文字の排除が行われていない。これを利用することで、任意のセッション ID とユーザの組み合わせがログイン済みであると Webmin および Usermin に認識させられる。これを利用して Webmin の機能を利用することができた場合、root 権限で任意のコマンドを実行することができる可能性がある。


Webmin 1.050 - 1.060 remote exploit
http://msgs.securepoint.com/bugtraq/

Webmin/Usermin Session ID Spoofing Vulnerability
http://www.lac.co.jp/security/intelligence/SNSAdvisory/53.html


告知:
SCAN シリーズ まるとく・セキュリティ商品 4大キャンペーン!3月末まで!
http://shop.vagabond.co.jp/campaign/
『Scan Security Management』 創刊!
http://shop.vagabond.co.jp/m-ssm01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 穴吹ハウジングサービスへのランサムウェア攻撃、一部の情報資産の漏えいを確認

    穴吹ハウジングサービスへのランサムウェア攻撃、一部の情報資産の漏えいを確認

  2. ロジックベインへの不正アクセス、再発防止策としてセキュリティ業務担当増員ほか

    ロジックベインへの不正アクセス、再発防止策としてセキュリティ業務担当増員ほか

  3. ことし御年六十五歳のパスワード先輩、定年退職延期は確実の見込み

    ことし御年六十五歳のパスワード先輩、定年退職延期は確実の見込み

  4. 国内企業サイバーセキュリティ実態調査、被害額「10億円以上」を初めて確認 ~ KPMG調査

    国内企業サイバーセキュリティ実態調査、被害額「10億円以上」を初めて確認 ~ KPMG調査

  5. 海外ショッピングサービス「セカイモン」に不正アクセス、安全配慮および調査実施の観点で公開を一時停止

    海外ショッピングサービス「セカイモン」に不正アクセス、安全配慮および調査実施の観点で公開を一時停止

ランキングをもっと見る
PageTop
ホーム 国際 海外情報 記事
TOP