JVNDB-2024-000059

複数のWebmin製品における複数の脆弱性

Webminが提供する複数の製品には、次の複数の脆弱性が存在します。

• sysinfo.cgiにクロスサイトスクリプティング（CWE-79）（CVE-2024-36450）
• session_login.cgiにクロスサイトスクリプティング（CWE-79）（CVE-2024-36453）
• ajaxtermモジュールに不十分な許可や権限の不適切な取扱い（CWE-280）（CVE-2024-36451）
• ajaxtermモジュールにクロスサイトリクエストフォージェリ（CWE-352）（CVE-2024-36452）

CVE-2024-36450、CVE-2024-36451、CVE-2024-36452
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：三井物産セキュアディレクション株式会社 米山 俊嗣 氏

CVE-2024-36453
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者：株式会社STNet 森山 響 氏

Webmin Project

• Usermin 1.820より前のバージョン(CVE-2024-36453)
• Webmin 1.910より前のバージョン(CVE-2024-36450)
• Webmin 2.003より前のバージョン(CVE-2024-36451、CVE-2024-36452)
• Webmin 1.970より前のバージョン(CVE-2024-36453)

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

• 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される（CVE-2024-36450、CVE-2024-36453）
• 権限を持たないユーザによって、コンソールセッションを乗っ取られる（CVE-2024-36451）
• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる（CVE-2024-36452）

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

Webmin Project

• Usermin : Usermin
• Webmin : Webmin

1. クロスサイトスクリプティング(CWE-79) [IPA評価]
2. クロスサイトリクエストフォージェリ(CWE-352) [IPA評価]
3. その他(CWE-Other) [IPA評価]

1. CVE-2024-36450
2. CVE-2024-36451
3. CVE-2024-36452
4. CVE-2024-36453

1. JVN : JVN#81442045

• [2024年07月09日]
    掲載