Security Lab

Обход дирктории в Webmin

Дата публикации:19.12.2001
Всего просмотров:2648
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Webmin – Web интерфейс для администрирования Unix. Используя любой браузер, который поддерживает таблицы и формы, вы можете изменять учетные записи пользователя, Apache, DNS, и так далее. Webmin реализован на большинстве Unix вариантов.

Webmin не фильтрует последовательности '../', позволяя обходить директории. Кроме того, с тех пор Webmin - средство для удаленной администрации Unix систем, оно выполняется с привелегиями корня. Уязвимость позволяет получить доступ к любому файлу на компьютере, на котором выполняется уязвимый Webmin.

Пример:
http://www.domain.com:10000/servers/link.cgi/1008341480/init/edit_action.cgi?0+../../../../../etc/shadow

Уязвимость найдена в Webmin 0.91

Ссылки: http://www.webmin.com/webmin/