Lücke in Web-Interface Usermin ermöglicht Einschleusen von Befehlen
Durch einen Fehler in der Web-Mail-Funktion von Usermin kann das Betrachten von manipulierten HTML-Mails zum Ausführen von beliebigen Systemkommandos führen.
Durch einen Fehler in der Web-Mail-Funktion von Usermin kann das Betrachten von manipulierten HTML-Mails zum Ausführen von beliebigen Systemkommandos führen. Schuld ist laut Advisory die unzureichende Filterung des für die Mail-Übertragung zuständigen Moduls. Links zu anderen Modulen werden nicht ausgefiltert, sodass die Übergabe von Befehlen an die Shell möglich ist. Der Fehler ist in den Versionen 1.070 und 1.080 enthalten, Version 1.090 beseitigt das Problem. Usermin ist eine abgespeckte Version von Webmin, die normalen Anwendern das Lesen und Senden von Mails sowie Verbindungen per SSH und viele andere Funktionen bietet.
Siehe dazu auch: (dab)
- Security Advisory zu Usermin
