Webmin是一個用于類Unix的基于Web的系統(tǒng)管理工具����,并且在全球范圍內(nèi)安裝數(shù)超過1,000,000�。使用Webmin可以很容易地配置操作系統(tǒng)內(nèi)部組件���。
2021年4月25日�,白帽匯安全研究院監(jiān)測到��,Webmin通告了多個CVE漏洞���。
CVE-2021-31760
利用CSRF攻擊��,實現(xiàn)對Webmin的遠(yuǎn)程命令執(zhí)行。
CVE-2021-31761
利用XSS攻擊�����,實現(xiàn)對Webmin的遠(yuǎn)程命令執(zhí)行���。
CVE-2021-31762
利用CSRF攻擊����,通過Webmin的添加用戶功能創(chuàng)建特權(quán)用戶�����,然后通過特權(quán)用戶權(quán)限反彈shell。
CVE 編號
CVE-2021-31760
CVE-2021-31761
CVE-2021-31762
FOFA查詢
app="Webmin"
影響范圍
根據(jù)目前FOFA系統(tǒng)最新數(shù)據(jù)(一年內(nèi)數(shù)據(jù))����,顯示全球范圍內(nèi)(app="Webmin")共有 527,906 個相關(guān)服務(wù)對外開放。美國使用數(shù)量最多�,共有 259045 個;德國第二��,共有 111404 個��;法國第三�,共有 100208 個;日本第四�����,共有 33654 個����;加拿大第五,共有 30849個�����。
全球范圍內(nèi)分布情況如下(僅為分布情況���,非漏洞影響情況)
中國大陸地區(qū)廣東使用數(shù)量最多�����,共有1513 個��;上海第二�����,共有 902 個�����;云南第三��,共有 674 個�;江蘇第四����,共有 661 個;北京第五����,共有 406 個���。
修復(fù)建議
目前官方尚未發(fā)布更新版本,相關(guān)用戶可以持續(xù)關(guān)注Webmin的更新�����。地址:https://github.com/webmin/webmin
參考來源
https://nosec.org/home/detail/4744.html
