Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11622

Опубликовано: 28 мар. 2024
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость обработчика CGI-запросов панели управления хостингом Webmin связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями

Вендор

ООО «Ред Софт»
Webmin

Наименование ПО

РЕД ОС
Webmin

Версия ПО

7.3 (РЕД ОС)
- (Webmin)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,4)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://github.com/webmin/authentic-theme/commit/61e5b10227b50407e3c6ac494ffbd4385d1b59df
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-webmin-cve-2024-12828/?sphrase_id=1334576

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02328
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20251028-01

CVSS3: 9.9
redos
около 1 месяца назад

Уязвимость webmin

ubuntu логотип

CVE-2024-12828

CVSS3: 8.8
ubuntu
11 месяцев назад

Webmin CGI Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Webmin. Authentication is required to exploit this vulnerability. The specific flaw exists within the handling of CGI requests. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-22346.

nvd логотип

CVE-2024-12828

CVSS3: 8.8
nvd
11 месяцев назад

Webmin CGI Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Webmin. Authentication is required to exploit this vulnerability. The specific flaw exists within the handling of CGI requests. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-22346.

debian логотип

CVE-2024-12828

CVSS3: 8.8
debian
11 месяцев назад

Webmin CGI Command Injection Remote Code Execution Vulnerability. This ...

github логотип

GHSA-r6m7-83vq-qx32

CVSS3: 9.9
github
11 месяцев назад

Webmin CGI Command Injection Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Webmin. Authentication is required to exploit this vulnerability. The specific flaw exists within the handling of CGI requests. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-22346.

EPSS

Процентиль: 84%
0.02328
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2