Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut inviter un utilisateur de Webmin à consulter un
document web, afin de faire exécuter de opérations sur le site de
Webmin via file/show.cgi.

– Produits concernés : Webmin
– Gravité : 2/4
– Date création : 13/09/2012

DESCRIPTION DE LA VULNÉRABILITÉ

Le script file/show.cgi de Webmin permet aux utilisateurs
d’effectuer des opérations sur des fichiers : lecture et
(dé)compression via tar, zip ou gzip.

L’utilisateur doit être authentifié sur Webmin. Cependant, Webmin
ne vérifie pas si la page ayant effectué l’opération provient de
Webmin. Un attaquant peut alors provoquer un Cross Site Request
Forgery.

Un attaquant peut donc inviter un utilisateur de Webmin à
consulter un document web, afin de faire exécuter de opérations
sur le site de Webmin via file/show.cgi.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Webmin-Cross-Site-Request-Forgery-via-file-show-cgi-11943