流行的基于网络的系统管理工具 Webmin 被发现存在一个严重的安全漏洞（CVE-2024-12828），攻击者可利用该漏洞控制服务器。据估计，Webmin 在全球的安装量已达一百万，该漏洞的影响范围可能非常广泛。

该漏洞的 CVSS 得分为 9.9，源于 Webmin 的 CGI 请求处理中的命令注入漏洞。从本质上讲，该软件未能正确地对用户提供的输入进行消毒，从而使攻击者能够注入恶意命令，然后以 root 权限执行这些命令。

“此漏洞允许远程攻击者在受影响的 Webmin 安装程序上执行任意代码。利用该漏洞需要进行身份验证。”

这个漏洞之所以特别危险，是因为它可以被权限较低的 Webmin 用户利用。这意味着，即使攻击者没有完全的管理权限，他们也有可能提升权限，完全控制服务器。

CVE-2024-12828 的可利用性可能会带来破坏性后果，包括：

• 完全控制服务器
• 未经授权访问敏感数据
• 部署恶意脚本和勒索软件
• 利用被入侵的服务器作为进一步攻击的平台

该漏洞由趋势科技的 “零日计划 ”发现，并已在 Webmin 2.111 版本中得到解决。强烈建议所有 Webmin 和 Virtualmin 管理员立即更新其安装。