【漏洞預警】CNNVD 關于Webmin命令注入漏洞的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于Webmin命令注入漏洞（CNNVD-201908-1151、CVE-2019-15107）情況的報送。攻擊者利用該漏洞可以進行遠程代碼執行攻擊。Webmin 1.920及其以下版本均受漏洞影響。目前，Webmin官方已發布了Webmin 1.930版本修復該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹 Webmin是一套基于Web的用于Unix操作系統中的系統管理工具。Webmin 1.920及之前版本中的password_change.cgi文件的‘old’參數存在命令注入漏洞，漏洞源于外部輸入數據構造可執行命令過程中，工具未正確過濾其中的特殊元素。攻擊者可利用該漏洞執行惡意代碼。

二、危害影響 成功利用上述漏洞的攻擊者可在無需輸入驗證的情況下執行惡意代碼，最終控制目標主機。Webmin 1.920及其以下版本均受漏洞影響。

三、修復建議 目前，Webmin官方已發布了Webmin 1.930版本修復該漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。