Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ejecución remota de código en webmin

Fecha de publicación 20/08/2019
Importancia
5 - Crítica
Recursos Afectados

Webmin versiones desde la 1.882 hasta la 1.921.

Descripción

Se ha descubierto un problema en webmin que podría permitir a un atacante, sin autenticación, la ejecución remota de código.

Solución
  • Actualizar a la versión 1.930,
  • Alternativamente, en las versiones 1.900 a 1.920: editar /etc/webmin/miniserv.conf, eliminar la línea passwd_mode= y ejecutar /etc/webmin/restart.
Detalle

El parámetro old en password_change.cgi contiene una vulnerabilidad de inyección de comandos que un atacante, no autenticado, podría explotar en las instalaciones con la opción "preguntar a los usuarios con contraseñas caducadas que introduzcan una nueva" activada en la política de caducidad de contraseñas. Esta opción está activada por defecto en la versión 1.890. Se ha asignado el identificador CVE-2019-15107 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Webmin 1.882 to 1.921 - Remote Command Execution
Webmin 1.930 and Usermin 1.780 released
Etiquetas