L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Usermin

avis de vulnérabilité CVE-2019-9624

Webmin/Usermin : exécution de code via Java File Manager / Upload And Download

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Java File Manager / Upload And Download de Webmin/Usermin, afin d'exécuter du code.
Produits concernés : Usermin, Webmin.
Gravité : 1/4.
Conséquences : accès/droits administrateur.
Provenance : compte privilégié.
Date création : 08/03/2019.
Références : CVE-2019-9624, VIGILANCE-VUL-28694.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via Java File Manager / Upload And Download de Webmin/Usermin, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 20801

Usermin : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Usermin, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Usermin.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 07/10/2016.
Références : JVN#32504719, VIGILANCE-VUL-20801.

Description de la vulnérabilité

Le produit Usermin dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Usermin, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2014-3883 CVE-2014-3884 CVE-2014-3885

Webmin, Usermin : Cross Site Scripting de Popup Windows

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans les Popup Windows de Webmin/Usermin, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Solaris, Usermin, Webmin.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 22/05/2014.
Références : bulletinapr2015, CERTFR-2015-AVI-169, CVE-2014-3883, CVE-2014-3884, CVE-2014-3885, CVE-2014-3886, CVE-2014-3924, VIGILANCE-VUL-14792.

Description de la vulnérabilité

Le produit Webmin/Usermin dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting dans les Popup Windows de Webmin/Usermin, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2009-4568

Webmin, Usermin : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans Webmin et Usermin.
Produits concernés : Mandriva Linux, OpenSolaris, Usermin, Webmin.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 11/12/2009.
Références : BID-37259, CVE-2009-4568, MDVSA-2010:036, VIGILANCE-VUL-9276.

Description de la vulnérabilité

Un Cross Site Scripting a été annoncé dans Webmin et Usermin.



Un attaquant peut ainsi créer une attaque de type Cross Site Scripting, afin d'exécuter du code Javascript dans le contexte du navigateur de la victime utilisant le site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 7576

Webmin, Usermin : protection Cross Site Scripting

Synthèse de la vulnérabilité

Les logiciels Webmin et Usermin sont fréquemment la cible d'attaque de type Cross Site Scripting.
Produits concernés : Usermin, Webmin.
Gravité : 1/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 12/02/2008.
Références : VIGILANCE-VUL-7576.

Description de la vulnérabilité

Les logiciels Webmin et Usermin sont fréquemment la cible d'attaque de type Cross Site Scripting.

Ce bulletin ne décrit pas une vulnérabilité, mais un changement de configuration de Webmin et Usermin afin de limiter l'impact des futures attaques de type Cross Site Scripting.

En effet, Webmin 1.400 et Usermin 1.330 vérifient maintenant l'entête HTTP Referer avant d'effectuer une opération. Si la page précédemment visitée n'est pas correcte, l'opération est refusée.

Ce changement de configuration limite donc l'impact des Cross Site Scripting qui seront découverts.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2008-0720

Webmin, Usermin : Cross Site Scripting de la recherche

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting dans la fonctionnalité de recherche de Webmin et Usermin.
Produits concernés : Usermin, Webmin.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 07/02/2008.
Références : BID-27662, CVE-2008-0720, VIGILANCE-VUL-7554.

Description de la vulnérabilité

Le script webmin_search.cgi permet d'effectuer une recherche texte dans les modules ou les pages d'aide.

Cependant, ce script ne filtre pas la chaîne cherchée avant de l'afficher dans la page HTML.

Un attaquant peut ainsi créer une attaque de type Cross Site Scripting afin d'exécuter du code Javascript dans le contexte du navigateur de la victime utilisant le site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 6598

Webmin, Usermin : Cross Site Scripting de chooser.cgi

Synthèse de la vulnérabilité

Un attaquant peut utiliser un nom de fichier spécial afin de provoquer un Cross Site Scripting dans Webmin ou Usermin.
Produits concernés : Usermin, Webmin.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 01/03/2007.
Références : BID-22748, VIGILANCE-VUL-6598.

Description de la vulnérabilité

Le script chooser.cgi permet de naviguer dans l'arborescence d'un système administré par Webmin, en affichant le contenu des répertoires sous forme HTML.

Cependant, les caractères spéciaux contenus dans les noms de fichiers ne sont pas correctement filtrés.

Un attaquant local peut donc créer un nom de fichier spécial afin de provoquer une attaque de type Cross Site Scripting dans le navigateur web de l'administrateur parcourant ce répertoire à l'aide de chooser.cgi.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2006-3392

Webmin, Usermin : lecture de fichier

Synthèse de la vulnérabilité

Un attaquant non authentifié peut employer Webmin or Usermin pour lire un fichier du serveur.
Produits concernés : Debian, Mandriva Linux, Usermin, Webmin.
Gravité : 3/4.
Conséquences : lecture de données.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 30/06/2006.
Dates révisions : 10/07/2006, 18/07/2006, 03/01/2007.
Références : BID-18744, CERTA-2006-AVI-337, CERTA-2006-AVI-454, CVE-2006-3292-ERROR, CVE-2006-3392, DSA-1199-1, MDKSA-2006:125, VIGILANCE-VUL-5972, VU#999601.

Description de la vulnérabilité

Le script miniserv.pl implémente le serveur web de Webmin et Usermin.

La plage de caractères 0x00 à 0x1F contient les caractères de contrôle, comme la tabulation ou le saut de ligne.

Le script miniserv.pl utilise la fonction simplify_path() pour canoniser l'url, c'est à dire par exemple supprimer "rep/..". Cependant, cette fonction ne filtre pas les caractères de contrôle.

Un attaquant non authentifié peut alors utiliser une url spéciale afin de lire un fichier du système.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2006-4542

Webmin, Usermin : obtention de source et Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut obtenir le code source de Webmin/Usermin ou mener une attaque de type Cross Site Scripting.
Produits concernés : Debian, Mandriva Linux, Usermin, Webmin.
Gravité : 1/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 01/09/2006.
Date révision : 07/09/2006.
Références : BID-19820, CERTA-2006-AVI-382, CERTA-2006-AVI-454, CVE-2006-4542, DSA-1199-1, MDKSA-2006:170, SNS Advisory No.89, VIGILANCE-VUL-6136.

Description de la vulnérabilité

Deux vulnérabilités ont été annoncées dans Webmin et Usermin.

Un attaquant peut obtenir le code source Perl/CGI. Etant donné que le code source est publiquement disponible, cette vulnérabilité ne concerne que les installations contenant des modules prioritaires. [grav:1/4]

Un attaquant peut créer une url spéciale provoquant l'exécution de code Javascript dans le contexte des utilisateurs cliquant sur le lien. [grav:1/4]

Ces deux vulnérabilités sont liées à un mauvais filtrage du caractère nul (%00).
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2006-4246

Usermin : désactivation du shell de root

Synthèse de la vulnérabilité

Un attaquant local peut changer le shell de l'utilisateur root, en employant l'interface Usermin.
Produits concernés : Debian, Usermin.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : compte utilisateur.
Date création : 22/06/2006.
Références : BID-18574, CVE-2006-4246, DSA-1177-1, VIGILANCE-VUL-5944.

Description de la vulnérabilité

La commande chsh permet à chaque utilisateur de changer son shell :
  chsh -s /bin/nouveaushell utilisateur

L'utilisateur peut aussi changer son shell via l'interface Usermin. Cependant, si le champ shell est vide, la commande suivante est exécutée avec les droits root :
  chsh -s utilisateur
Ainsi, le shell de root devient "utilisateur". L'administrateur ne peut alors plus se connecter sur le système.

Cette vulnérabilité permet ainsi à un attaquant de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Usermin :