发布日期：2007-06-08
更新日期：2007-07-09

受影响系统：

Webmin Webmin 1.340
Webmin Usermin 1.270

不受影响系统：

Webmin Webmin 1.350
Webmin Usermin 1.280

描述：

---

BUGTRAQ  ID: 24381
CVE(CAN) ID: CVE-2007-3156

Webmin是一款基于WEB的Unix和Linux操作系统管理界面。

Webmin的pam_login.cgi文件中存在多个跨站脚本漏洞，如果用户受骗访问了恶意网页的话，远程攻击者就可以通过cid、message或question参数向用户浏览器会话注入并执行任意脚本。

<*来源：webmin
  
  链接：http://secunia.com/advisories/25580
        http://www.webmin.com/changes-1.350.html
        http://security.gentoo.org/glsa/glsa-200707-05.xml
*>

建议：

---

厂商补丁：

Webmin
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://prdownloads.sourceforge.net/webadmin/webmin-1.350.tar.gz

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200707-05）以及相应补丁:
GLSA-200707-05：Webmin, Usermin: Cross-site scripting vulnerabilities
链接：http://security.gentoo.org/glsa/glsa-200707-05.xml

所有Webmin用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --verbose --oneshot ">=app-admin/webmin-1.350"

所有Usermin用户都应升级到最新的stable版本：

    # emerge --sync
    # emerge --ask --verbose --oneshot ">=app-admin/usermin-1.280"

浏览次数：2722
严重程度：0（网友投票）