Se ha reportado una vulnerabilidad en Webmin y Usermin que podría permitir a un atacante remoto realizar ataques de tipo cross-site scripting.
Webmin es una herramienta de configuración de sistemas accesible vía web para sistemas Unix. Se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, Apache, DNS, archivos compartidos y mucho más. Especialmente dedicado para administradores del sistema.
Usermin es una versión simplificada de Webmin con características y funcionalidades destinadas específicamente para usuarios del sistema.
La vulnerabilidad, con identificador CVE-2014-3924, se debe a un error en ventanas emergentes al no filtrar correctamente el código html proporcionado por el usuario. Esto podría ser usado por un atacante remoto para realizar un ataque cross-site scripting a través de una url especialmente diseñada.
Afectan a las versiones anteriores a 1.690 de Webmin y versiones anteriores a 1.600 de
Usermin. Se recomienda actualizar a las
versiones 1.690 y 1.600 de Webmin y
Usermin respectivamente.
Más información:
Change Log
Usermin Change Log
Juan Sánchez