Webmin において特定の権限を持つユーザを悪用して遠隔から任意のファイルが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.06.17(月)

Webmin において特定の権限を持つユーザを悪用して遠隔から任意のファイルが実行可能となる脆弱性(Scan Tech Report)

OS 管理ツールである Webmin に、遠隔から任意のファイルをアップロードすることが可能となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
http://www.webmin.com/
http://www.webmin.com/ 全 1 枚 拡大写真
◆概要

 OS 管理ツールである Webmin に、遠隔から任意のファイルをアップロードすることが可能となる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、遠隔から管理者権限でサーバの制御を奪われてしまいます。認証情報の強化やアクセス制御などにより対策してください。

◆分析者コメント

 ソフトウェアの性質上、公開ネットワークからアクセスできる可能性が低いソフトウェアですが、本記事執筆時点 (2019 年 4 月 1 日) の最新版で脆弱性が修正がされていません。認証情報が特定されなければ脆弱性を悪用できないため、Webmin を利用している場合は認証情報を推測できないものに強化することを推奨します。また、性質上、アクセス可能な範囲を制限するべきソフトウェアであるため、アクセス制御により対策することを推奨します。

◆深刻度(CVSS)

[CVSS v3]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2019-9624&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

[CVSS v2]
6.8
https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator?name=CVE-2019-9624&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)

◆影響を受けるソフトウェア

 Webmin のバージョン 1.900 およびそれよりも古いバージョンが当該脆弱性の影響を受けます。

◆解説

 Web ブラウザベースの Linux/Unix 向けの OS 管理ツールである Webmin に、遠隔から任意のファイルをアップロードすることが可能となる脆弱性が報告されています。

《株式会社ラック サイバー・グリッド研究所》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

    パスワードリスト攻撃による不正ログイン、カード不正利用確認(イオン銀行、イオンクレジットサービス)

  2. 「NOTICE」と合わせ、感染IoT利用者にも注意喚起(総務省、NICT、ICT-ISAC)

    「NOTICE」と合わせ、感染IoT利用者にも注意喚起(総務省、NICT、ICT-ISAC)

  3. フィッシング詐欺キットに脆弱性、ターゲットは二度被害に遭う可能性(The Register)

    フィッシング詐欺キットに脆弱性、ターゲットは二度被害に遭う可能性(The Register)

  4. Webサイトのサーバに第三者から不正アクセス、ウイルス感染や情報流出は確認されず(日邦産業)

    Webサイトのサーバに第三者から不正アクセス、ウイルス感染や情報流出は確認されず(日邦産業)

  5. Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

    Vtuber支援サービスでユーザーのメールアドレスが流出、暗号化されたパスワードの脆弱性も判明(ZIG)

  6. 「脆弱性診断の内製化」セミナー、体験会も同時開催(SHIFT)

    「脆弱性診断の内製化」セミナー、体験会も同時開催(SHIFT)PR

  7. 約5,000枚の「振替払出書」と「振替払出証書」を紛失、誤廃棄の可能性(ゆうちょ銀行)

    約5,000枚の「振替払出書」と「振替払出証書」を紛失、誤廃棄の可能性(ゆうちょ銀行)

  8. EDR、MDRサービスの利用が堅調に拡大--実態調査(IDC Japan)

    EDR、MDRサービスの利用が堅調に拡大--実態調査(IDC Japan)

  9. セブン銀行を騙るフィッシングSMSに注意を呼びかけ(フィッシング対策協議会)

    セブン銀行を騙るフィッシングSMSに注意を呼びかけ(フィッシング対策協議会)

  10. 1兆円突破、2017年度情報セキュリティ市場(JNSA)

    1兆円突破、2017年度情報セキュリティ市場(JNSA)

ランキングをもっと見る