CVE-2002-0757 (CNNVD-200208-159)

HIGH
中文标题:
Webmin / Usermin验证可绕过漏洞
英文标题:
(1) Webmin 0.96 and (2) Usermin 0.90 with password timeouts enabled allow local and possibly remote ...
CVSS分数: 7.5
发布时间: 2002-07-26 04:00:00
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Webmin是澳大利亚软件开发者Jamie Cameron和Webmin社区共同开发的一套基于Web的用于类Unix操作系统中的系统管理工具。Usermin则设计用于操作用户级别的任务,允许Unix系统中用户简单的进行接收邮件,执行SSH,和邮件转发配置。 Webmin / Usermin验证机制处理存在漏洞,可导致远程攻击者在获取已知帐户的情况下无需密码访问系统。 Webmin / Usermin在建立或者验证Session ID,或在设置密码超时期间进程会出现父进程和使用有名管道的子进程间进行内部通信,由于作为验证信息传递的数据包含的控制字符没有被删除,所以可导致使Webmin / Usermin应答任意用户和攻击者指定Session ID的请求,如果攻击者以这种方法登录到Webmin,就存在以ROOT权限执行任意命令的可能。 要成功实现此攻击,需要如下条件: Webmin所需条件: 1,Webmin->Configuration->Authentication中的"Enable password timeouts" 已设置。 2,如果存在一合法Webmin用户名,如"admin"存在的情况下,攻击者可以利用这个用户名执行所有此系统功能,包括SHELL命令。 Usermin所需条件: 1,密码超时设置。 2,拥有合法用户名。

英文描述:

(1) Webmin 0.96 and (2) Usermin 0.90 with password timeouts enabled allow local and possibly remote attackers to bypass authentication and gain privileges via certain control characters in the authentication information, which can force Webmin or Usermin to accept arbitrary username/session ID combinations.

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
usermin usermin 0.7 - - cpe:2.3:a:usermin:usermin:0.7:*:*:*:*:*:*:*
usermin usermin 0.8 - - cpe:2.3:a:usermin:usermin:0.8:*:*:*:*:*:*:*
usermin usermin 0.9 - - cpe:2.3:a:usermin:usermin:0.9:*:*:*:*:*:*:*
webmin webmin 0.91 - - cpe:2.3:a:webmin:webmin:0.91:*:*:*:*:*:*:*
webmin webmin 0.92 - - cpe:2.3:a:webmin:webmin:0.92:*:*:*:*:*:*:*
webmin webmin 0.92.1 - - cpe:2.3:a:webmin:webmin:0.92.1:*:*:*:*:*:*:*
webmin webmin 0.93 - - cpe:2.3:a:webmin:webmin:0.93:*:*:*:*:*:*:*
webmin webmin 0.94 - - cpe:2.3:a:webmin:webmin:0.94:*:*:*:*:*:*:*
webmin webmin 0.95 - - cpe:2.3:a:webmin:webmin:0.95:*:*:*:*:*:*:*
webmin webmin 0.96 - - cpe:2.3:a:webmin:webmin:0.96:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
webmin-usermin-sessionid-spoof(9037) vdb-entry
cve.org
访问
4700 vdb-entry
cve.org
访问
MDKSA-2002:033 vendor-advisory
cve.org
访问
20020508 [SNS Advisory No.53] Webmin/Usermin Session ID Spoofing Vulnerability mailing-list
cve.org
访问
CVSS评分详情
7.5
HIGH
CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS版本: 2.0
机密性
PARTIAL
完整性
PARTIAL
可用性
PARTIAL
时间信息
发布时间:
2002-07-26 04:00:00
修改时间:
2024-08-08 03:03:47
创建时间:
2025-11-11 15:32:16
更新时间:
2025-11-11 15:48:48
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2002-0757 2025-11-11 15:17:24 2025-11-11 07:32:16
NVD nvd_CVE-2002-0757 2025-11-11 14:50:27 2025-11-11 07:41:02
CNNVD cnnvd_CNNVD-200208-159 2025-11-11 15:08:41 2025-11-11 07:48:48
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:48
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-200208-159; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-200208-159
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:02
severity: SeverityLevel.MEDIUM → SeverityLevel.HIGH; cvss_score: 未提取 → 7.5; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:P/A:P; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 10; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
  • cvss_score: 未提取 -> 7.5
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 10
  • data_sources: ['cve'] -> ['cve', 'nvd']