Vigil@nce : Webmin, Cross Site Request Forgery via file/show.cgi
septembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut inviter un utilisateur de Webmin à consulter un
document web, afin de faire exécuter de opérations sur le site de
Webmin via file/show.cgi.
– Produits concernés : Webmin
– Gravité : 2/4
– Date création : 13/09/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Le script file/show.cgi de Webmin permet aux utilisateurs
d’effectuer des opérations sur des fichiers : lecture et
(dé)compression via tar, zip ou gzip.
L’utilisateur doit être authentifié sur Webmin. Cependant, Webmin
ne vérifie pas si la page ayant effectué l’opération provient de
Webmin. Un attaquant peut alors provoquer un Cross Site Request
Forgery.
Un attaquant peut donc inviter un utilisateur de Webmin à
consulter un document web, afin de faire exécuter de opérations
sur le site de Webmin via file/show.cgi.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Webmin-Cross-Site-Request-Forgery-via-file-show-cgi-11943