CVE-2025-2774: Webmin Vulnerability Allows Root-Level Privilege Escalation
2025/05/04 SecurityOnline — Unix 系サーバや各種サービスの管理に利用され、世界中で年間約 100万件も導入される、人気の Web ベース・システム管理ツール Webmin に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性を悪用するリモートの攻撃者は、権限を昇格させ、影響を受けるシステムから大半の制御を奪い取るとされる。
この CRLF インジェクションの脆弱性 CVE-2025-2774 (CVSS:8.8) により、権限昇格が引き起これる可能性が生じる。根本的な問題は、Webmin の CGIリクエストの処理にあり、CRLF シーケンスの適切な無効化の欠如に起因する。
この適切な処理の欠如を悪用する攻撃者は、特定のリクエストに対して CR 復帰文字と LF 改行文字を挿入し、サーバの応答を操作できる。この脆弱性が悪用されると、攻撃者は権限昇格達成し、ルート権限での任意のコード実行の可能性を得る。つまり、攻撃者は、標的サーバに対する最高レベルの制御権を取得し、データ漏洩/システム侵害などの、悪意のアクティビティを引き起こすとされる。
この脆弱性の影響は深刻である。Webmin は、重要サーバ機能の管理に広く使用されているため、この脆弱性が悪用されると、攻撃者は、以下のことを達成するとされる:
- サーバの完全な制御
- システム・コンフィグの変更
- マルウェアのインストール
- 機密データへのアクセス
- サービスの妨害
すれに、この脆弱性は、Webmin のバージョン 2.302 で修正されている。ユーザーに対して強く推奨されるのは、このバージョンへと速やかにアップデートし、悪用のリスクを軽減することだ。
すべての Webmin ユーザーに対しては、以下の対応が強く推奨される:
- Webmin のバージョン 2.302 への迅速なアップデート
- システム・ログ上の不審なアクティビティの確認
- 最小権限の原則やネットワーク・セグメンテーションなどの、強力なセキュリティ対策実施
Webmin に、CVSS 10.0 の深刻な脆弱性が発生しています。悪用されると、データ漏洩/システム侵害などに至る可能性がある危険なものです。ご利用のチームは、アップデートをお急ぎください。なお、前回の Webmin の脆弱性は、2024/12/23 の「Webmin の脆弱性 CVE-2024-12828 (CVSS 9.9) が FIX:ただちにアップデートを!」です。よろしければ、Webmin で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.