一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到流行的系統(tǒng)管理員工具Webmin官方發(fā)布安全告警， Webmin 1.930之前的版本存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2019-15107）。在開啟密碼重置功能的場景下，攻擊者可以通過該功能注入系統(tǒng)命令從而實(shí)現(xiàn)命令執(zhí)行效果。

參考鏈接：

http://www.webmin.com/security.html

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、影響范圍

漏洞影響的產(chǎn)品版本包括：

Webmin < 1.930

安全版本為：

Webmin 1.930

四、處置方案

目前Webmin官方已發(fā)布最新版本W(wǎng)ebmin 1.930 修復(fù)了該漏洞，請受影響的用戶盡快升級至最新版本：

下載鏈接：http://webmin.com/download.html

臨時(shí)解決方案：

1.900 到 1.920版本的用戶，編輯Webmin配置文件：/etc/webmin/miniserv.conf，注釋或刪除“passwd_mode=”行，然后運(yùn)行 /etc/webmin/restart 重啟服務(wù)命令。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。