CRITICAL🇬🇧 English

CVE-2026-49103

Webmin: path traversal przy zapisie załącznika w komponencie mailboxes

CVSS 9.4v4.0pub. 2026-05-27

Webmin przed wersją 2.640 nieprawidłowo konstruuje nazwy plików podczas zapisywania załączników w komponencie skrzynek pocztowych (mailboxes/detachall.cgi). Podatność klasy path traversal umożliwia atakującemu zapis pliku w arbitralnej lokalizacji systemu plików.

Pokaż oryginał (EN)

Webmin before 2.640 does not safely construct a filename for saving of an attachment within the mailboxes component. This occurs in mailboxes/detachall.cgi.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-24 (path traversal) polega na tym, że aplikacja nie oczyszcza odpowiednio nazwy pliku przekazanej przez użytkownika podczas zapisywania załącznika wiadomości e-mail. Skrypt mailboxes/detachall.cgi używa tej niezwalidowanej wartości bezpośrednio do zbudowania ścieżki docelowej pliku. Atakujący może dostarczyć spreparowaną nazwę zawierającą sekwencje typu '../' i spowodować zapis pliku poza przeznaczonym katalogiem.

Skutki

Uwierzytelniony atakujący może nadpisać lub utworzyć dowolne pliki na serwerze z uprawnieniami procesu Webmin, co może prowadzić do pełnego przejęcia kontroli nad systemem (np. przez nadpisanie plików konfiguracyjnych, skryptów startowych lub kluczy autoryzacyjnych).

Mitygacja

Należy zaktualizować Webmin do wersji 2.640 lub nowszej. Poprawka dostępna jest w repozytorium projektu (commit cf432879a14568c4bb44cd2f9e5a9bd0e168edc1). Szczegóły porównania zmian dostępne pod adresem: https://github.com/webmin/webmin/compare/2.630...2.640

Kogo dotyczy

Webmin przed wersją 2.640

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-49103 — Webmin: path traversal przy zapisie załącznika w komponencie mailboxes — CRITICAL 9.4 | CVEbaza.pl