Critical Webmin Vulnerabilities Allow Attackers to Impersonate as Any User
2026/06/24 CyberSecurityNews — Unix 系システム向けの Web ベースのシステム管理ツールであるWebmin は、バージョン 2.641 以下に影響を及ぼす、複数の脆弱性に関する情報を開示した。Webmin に存在する一連の深刻なセキュリティ脆弱性を悪用する攻撃者は、ユーザーに成りすまして認証をバイパスし、root レベルの制御を取得するという重大なリスクを引き起こす。これらの脆弱性は、蓄積型クロスサイトスクリプティング (XSS)/権限昇格/認証バイパスといった多岐にわたるものであり、リモートと内部の脅威からの攻撃対象領域を大幅に拡大する。

Webmin の脆弱性
最も深刻な脆弱性の 1 つである CVE-2026-22678 は、System and Server Status モジュールに存在する蓄積型 XSS の欠陥である。
限定的な Webmin アクセスを持つ攻撃者により、通知テンプレートへの悪意のスクリプト注入が実行される。それを管理者が表示すると、root ユーザーのコンテキストでペイロードが実行され、システム全体への侵害へと至る可能性がある。
もう 1 つの、高リスクの脆弱性 CVE-N/A は、バージョン 2.640 以下における、組み込み Help 機能を介した欠陥である。この欠陥を突くユーザーは、割り当てられたモジュール権限にかかわらず、root 権限で任意のコマンドを実行できる。これにより、Webmin のアクセス制御モデルが破綻する。
さらに、Read User Mail モジュールに存在する複数の脆弱性により、さらに悪用の範囲が拡大する。
脆弱性 CVE-2026-49102 は、悪意の SVG メール添付ファイルを介した XSS を許すものである。その一方で、脆弱性 CVE-2026-49103 は、メール添付ファイルの切り離し時に、安全でないファイル名処理を許すため、ファイルの上書きが可能になる。これらの問題を連鎖させることで、永続的な侵害につながる可能性がある。
また、Webmin には 2 要素認証バイパスの脆弱性 CVE-2026-42210/CVE-2026-56022 も存在する。
標準的なセッション・ベースのログインではなく、HTTP ベーシック認証を使用する攻撃者は、2FA 保護をバイパスできる。有効な認証情報は必要であるが、アカウント乗っ取りを防ぐために設計された重要なセキュリティ制御が、この欠陥により弱体化する。
古いバージョンの Webmin は、その他の複数の深刻な脆弱性の影響を受ける。
それらの脆弱性として挙げられるのは、Squid モジュールを介したコマンド実行 (CVE-2025-67738)、パスワード・リセット機能におけるホスト・ヘッダー・インジェクション (CVE-2025-61541)、攻撃者によるクライアント証明書のなりすましを可能にする SSL 信頼設定の不備 (CVE-2026-56020) などである。
たとえば、限定的な Webmin アクセスを持つ攻撃者であれば、Help 機能を悪用して root 権限を取得し、その後に 2FA バイパスを介することで、強化されたアカウント上での不正アクセスを維持できる。その結果として、正規の管理者に成りすますことが可能になる。
TIM Security Red Team や独立したコントリビューターを含む複数組織のセキュリティ研究者たちが、これらの問題を報告している。それにより浮き彫りにされるのは、広くデプロイされている管理ツールにおける継続的なリスクである。
ユーザーに推奨されるのは、直ちに最新版の Webmin へとアップグレードすることである。管理者にとって必要なことは、不要なモジュールの無効化と、厳格なアクセス制御の強制に加えて、信頼できないユーザーに Webmin アクセスを付与しないことである。
さらに、認証メカニズムを見直し、可能な場合はベーシック認証を無効化することで、2FA バイパスのリスクを緩和できる。
インフラ管理に Webmin を利用する組織は、これらの脆弱性を高優先度で扱うべきである。悪用に成功した攻撃者は、システム全体の乗っ取り/データ露出を引き起こし、攻撃者による永続的なアクセスに至る可能性がある。
訳者後書:Webmin の複数モジュールに、認証機能の回避や最高権限の不正奪取を許す一連の脆弱性 CVE-2026-22678/CVE-2026-49102/CVE-2026-49103/CVE-2026-42210 などが見つかりました。この問題の背景には、外部からの入力やセッション制御、ファイルの扱いに関する検証不足があります。これらが悪用されると、一般のユーザーが管理者に成り代わってシステム全般の支配権を握るなど、運用を根底から揺るがす影響が生じ得ます。確実な対策として、速やかな最新版へのアップデートが必要です。その上で、不要な機能を制限しつつ、基本認証の停止など設定の見直しを進めることが大切です。よろしければ、過去の Webmin 関連の記事も、ご参照ください。
You must be logged in to post a comment.