一、基本情况

Webmin1.92之前的版本存在远程命令执行漏洞，CVE编号: CVE-2019-15107。当用户开启Webmin密码重置功能后，攻击者利用该漏洞可在系统中执行任意命令，进而获取系统权限。

      二、漏洞描述

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大多数的Unix系统，这些系统除了各种版本的linux以外还包括：AIX、HPUX、Solaris、Unixware、Irix和FreeBSD等。

在2019年7月26日的时候 @luizfschrickte 就在 webmin 官方github 仓库 #947 反馈了这个问题。@DEFCON AppSec Village link 也在 2019 年08月10日的时候提到该问题，因为问题出现在 password_change.cgi，cgi文件基本就是可以理解为是一个可以用于网络请求的 sh/bash/或任意本地可执行程序解释的脚本文件，此处的是 #!/usr/local/bin/perl。

此处逻辑为获得传入的用户名是否存在，虽然可以看到赋值 $wuser = undef,但实际是 {} 即可通过下面判断。

这个漏洞最离奇的地方来了，上面这个文件在 2014 年以前均是这样的。而在deb包中其中关键的一行。

$in{'old'} 被直接带入了 pass_error。

这就直接导致了命令执行。

      三、影响范围

Webmin <=1.920

      四、处置建议

目前，Webmin官方已发布升级补丁，建议用户尽快升级,官方补丁链接如下：

http://www.webmin.com/

      五、参考链接

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15107

http://www.webmin.com/