ГлавнаяБаза уязвимостей БДУ → BDU:2024-11622
9критическая

BDU:2024-11622 (CVE-2024-12828)

Уязвимость обработчика CGI-запросов панели управления хостингом Webmin, позволяющая нарушителю выполнить произвольный код с root-привилегиями
Опубликовано: 2024-12-27
Описание

Уязвимость обработчика CGI-запросов панели управления хостингом Webmin связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями

Затрагиваемое ПО и версии
РЕД ОС (7.3)Webmin
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности эксплуатации уязвимости;
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций:
https://github.com/webmin/authentic-theme/commit/61e5b10227b50407e3c6ac494ffbd4385d1b59df

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-webmin-cve-2024-12828/?sphrase_id=1334576

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://vuldb.com/?id.289119https://www.zerodayinitiative.com/advisories/ZDI-24-1725/https://github.com/webmin/authentic-theme/commit/61e5b10227b50407e3c6ac494ffbd4385d1b59dfhttps://t.me/cyberkendra/1768https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-webmin-cve-2024-12828/?sphrase_id=1334576
Проверьте безопасность своего сайта и почты → Полная проверка домена