WebminにCVSS 9.9の脆弱性 一般ユーザーがシステムを完全に制御できるリスク：セキュリティニュースアラート

WebminにCVSS 9.9の脆弱性「CVE-2024-12828」が見つかった。この脆弱性はリモートからの任意のコード実行を可能にする。管理者には迅速なアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Zero Day Initiativeは2024年12月20日（現地時間）、UNIX系OSのWebベース管理ツール「Webmin」に深刻な脆弱（ぜいじゃく）性が存在することを報告した。悪用された場合、リモートコード実行が可能になる。

人気のWebベース管理ツール「Webmin」にCVSS 9.9の脆弱性　急ぎ対処を

　この脆弱性は「CVE-2024-12828」として特定されている。CVE-2024-12828はCGIコマンドインジェクションの脆弱性とされ、システムコールを実行する前に、ユーザーが指定した文字列を、適切に検証しないために発生する。リモートの攻撃者はこの脆弱性を利用することで、Webminのインストール時に任意のコードを実行できるとされている。

　脆弱性の悪用には認証が必要だが、共通脆弱性評価システム（CVSS）のスコアは9.9（Critical）と高く分析されている。その理由は権限の低いWebminユーザーが管理者権限で任意のコードを実行できる点にあり、一般ユーザーがシステムを完全に制御できる可能性がある。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Webmin 2.105およびこれ以前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• Webmin 2.111およびこれ以降のバージョン

　Webminは「Windows」のように手軽なシステム管理をLinuxなどのUNIX系OSに提供する。そのため幅広い層に人気があり、年間100万回以上インストールされている。CVE-2024-12828は個人利用の環境にはほぼ影響しないが、特定多数が利用している環境に深刻な影響がある。Webminに一般ユーザーアカウントが存在する場合、侵害される可能性があるため、迅速にアップデートを適用することが推奨される。