公開日:2006/08/31 最終更新日:2006/09/01
JVN#99776858
Webmin および Usermin にクロスサイトスクリプティングを含む複数の脆弱性
ウェブベースのシステム管理ツールである Webmin および Usermin には、以下の脆弱性が存在します。
・Webmin および Usermin のアクセス制限を回避したファイルの実行とソースコードの閲覧
・クロスサイトスクリプティングの問題
- Webmin Version 1.290 およびそれ以前
- Usermin Version 1.220 およびそれ以前
2006年8月31日現在、本脆弱性は、Webmin development version 1.297 および Usermin development version 1.226 にて修正されていることが確認されています。最新版については、ベンダ情報の Development Versions of Webmin and Usermin をご参照ください。
遠隔の第三者により、以下のような影響を受ける可能性があります。
・Webmin および Usermin の設定情報が漏洩する
・ユーザのブラウザ上で任意のスクリプトが実行される
・また、Cookie 情報に含まれるセッション情報が漏洩した結果、セッション・ハイジャックが行われる可能性があります
ベンダ | リンク |
webmin | Security Alerts |
webmin | Development Versions of Webmin and Usermin |
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社ラック 山崎 圭吾 氏
JPCERT 緊急報告 | |
JPCERT REPORT | |
CERT Advisory | |
CPNI Advisory | |
TRnotes | |
CVE | |
JVN iPedia |