Webmin przed wersją 2.640 nieprawidłowo konstruuje nazwy plików podczas zapisywania załączników w komponencie skrzynek pocztowych (mailboxes/detachall.cgi). Podatność klasy path traversal umożliwia atakującemu zapis pliku w arbitralnej lokalizacji systemu plików.
▸ Pokaż oryginał (EN)
Webmin before 2.640 does not safely construct a filename for saving of an attachment within the mailboxes component. This occurs in mailboxes/detachall.cgi.
Błąd sklasyfikowany jako CWE-24 (path traversal) polega na tym, że aplikacja nie oczyszcza odpowiednio nazwy pliku przekazanej przez użytkownika podczas zapisywania załącznika wiadomości e-mail. Skrypt mailboxes/detachall.cgi używa tej niezwalidowanej wartości bezpośrednio do zbudowania ścieżki docelowej pliku. Atakujący może dostarczyć spreparowaną nazwę zawierającą sekwencje typu '../' i spowodować zapis pliku poza przeznaczonym katalogiem.
Uwierzytelniony atakujący może nadpisać lub utworzyć dowolne pliki na serwerze z uprawnieniami procesu Webmin, co może prowadzić do pełnego przejęcia kontroli nad systemem (np. przez nadpisanie plików konfiguracyjnych, skryptów startowych lub kluczy autoryzacyjnych).
Należy zaktualizować Webmin do wersji 2.640 lub nowszej. Poprawka dostępna jest w repozytorium projektu (commit cf432879a14568c4bb44cd2f9e5a9bd0e168edc1). Szczegóły porównania zmian dostępne pod adresem: https://github.com/webmin/webmin/compare/2.630...2.640
Webmin przed wersją 2.640
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X