概述
Webmin 被爆出1.920版本之前存在一个远程命令执行漏洞(CVE-2019-15107),当用户开 Webmin 密码重置功能后,攻击者利用该漏洞可在易受损系统中执行任意命令,进而获取系统 Shell。由于Webmin 中 Password_Change.cgi 在接收请求的处理过程中,old 参数存在命令注入漏洞,可被攻击者恶意利用。影响版本
Webmin 1.920及以下版本。漏洞复现
1、首先打开靶场。![1](https://fofapro.github.io/vulfocus/writeup/Webmin_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E_CVE-2019-15107/1.png)
![2](https://fofapro.github.io/vulfocus/writeup/Webmin_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E_CVE-2019-15107/2.png)
![3](https://fofapro.github.io/vulfocus/writeup/Webmin_%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E_CVE-2019-15107/3.png)
Webmin 远程命令执行漏洞(CVE-2019-15107)(转)
https://www.hao.kim/archives/525.html