公開日:2006/08/31 最終更新日:2006/09/01
JVN#99776858
Webmin および Usermin にクロスサイトスクリプティングを含む複数の脆弱性
ウェブベースのシステム管理ツールである Webmin および Usermin には、以下の脆弱性が存在します。
・Webmin および Usermin のアクセス制限を回避したファイルの実行とソースコードの閲覧
・クロスサイトスクリプティングの問題
- Webmin Version 1.290 およびそれ以前
- Usermin Version 1.220 およびそれ以前
2006年8月31日現在、本脆弱性は、Webmin development version 1.297 および Usermin development version 1.226 にて修正されていることが確認されています。最新版については、ベンダ情報の Development Versions of Webmin and Usermin をご参照ください。
遠隔の第三者により、以下のような影響を受ける可能性があります。
・Webmin および Usermin の設定情報が漏洩する
・ユーザのブラウザ上で任意のスクリプトが実行される
・また、Cookie 情報に含まれるセッション情報が漏洩した結果、セッション・ハイジャックが行われる可能性があります
| ベンダ | リンク |
| webmin | Security Alerts |
| webmin | Development Versions of Webmin and Usermin |
- IPA
「Webmin」および「Usermin」にクロスサイト・スクリプティングを含む複数の脆弱性 - LAC
Webmin/Usermin Null Character "%00" Handling Vulnerability
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき 下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。 報告者: 株式会社ラック 山崎 圭吾 氏
| JPCERT 緊急報告 | |
| JPCERT REPORT | |
| CERT Advisory | |
| NISCC Advisory | |
| TRnotes | |
| CVE |
- 2006/08/31
- 概要情報を更新しました。
ベンダ情報を追加しました。 - 2006/09/01
- 参考情報を更新しました。
