Zraniteľnosť webového manažmentového nástroja Webmin

Vývojári webového ovládacieho panelu pre vzdialený manažment serverov Webmin vydali aktualizáciu svojho produktu, ktorá opravuje vysoko závažnú zraniteľnosť. CVE-2025-2774 by vzdialený autentifikovaný útočník mohol zneužiť na eskaláciu privilégií, vykonanie ľubovoľného kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Webmin vo verziách starších ako 2.302

Opis zraniteľnosti:

CVE-2025-2774  (CVSS 3.1 skóre: 8,8)

Vysoko závažná zraniteľnosť spočíva v nedostatočnej neutralizácii CRLF sekvencií v rámci CGI (Common Gateway Interface) požiadaviek. Vzdialený autentifikovaný útočník by ju zaslaním špeciálne vytvorených CGI požiadaviek mohol zneužiť na eskaláciu privilégií a vykonanie škodlivého kódu v kontexte používateľa root.

Možné škody:

• Eskalácia privilégií
• Vykonanie ľubovoľného kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Webmin na verziu 2.302 alebo novšiu. Taktiež odporúčame vykonať kontrolu logov zariadenia a sieťových a bezpečnostných prvkov za účelom preverenia prítomnosti pokusov o zneužitie zraniteľnosti.

Zdroje:

• https://www.zerodayinitiative.com/advisories/ZDI-25-282/
• https://securityonline.info/cve-2025-2774-webmin-vulnerability-allows-root-level-privilege-escalation/