公開日:2024/07/09 最終更新日:2024/07/09
JVN#81442045
複数のWebmin製品における複数の脆弱性
Webminが提供する複数の製品には、複数の脆弱性が存在します。
CVE-2024-36450
- Webmin 1.910より前のバージョン
- Webmin 1.970より前のバージョン
- Usermin 1.820より前のバージョン
- Webmin 2.003より前のバージョン
Webminが提供する複数の製品には、次の複数の脆弱性が存在します。
- sysinfo.cgiにクロスサイトスクリプティング(CWE-79)
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2024-36450
- session_login.cgiにクロスサイトスクリプティング(CWE-79)
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2024-36453
- ajaxtermモジュールに不十分な許可や権限の不適切な取扱い(CWE-280)
- CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8
- CVE-2024-36451
- ajaxtermモジュールにクロスサイトリクエストフォージェリ(CWE-352)
- CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 3.1
- CVE-2024-36452
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2024-36450、CVE-2024-36453)
- 権限を持たないユーザによって、コンソールセッションを乗っ取られる(CVE-2024-36451)
- 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2024-36452)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
CVE-2024-36450、CVE-2024-36451、CVE-2024-36452
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:三井物産セキュアディレクション株式会社 米山 俊嗣 氏
CVE-2024-36453
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社STNet 森山 響 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2024-36450 |
|
CVE-2024-36451 |
|
|
CVE-2024-36452 |
|
|
CVE-2024-36453 |
|
| JVN iPedia |
JVNDB-2024-000059 |
