Webmin爆出严重安全漏洞CVE-2024-12828，攻击者可利用此漏洞控制服务器。该漏洞CVSS评分高达9.9，源于Webmin的CGI请求处理中的命令注入漏洞，未正确消毒用户输入，导致攻击者能注入恶意命令并以root权限执行。即使是权限较低的Webmin用户也可能利用此漏洞提升权限，完全控制服务器。攻击后果包括服务器完全控制、数据泄露、部署恶意软件等。该漏洞由趋势科技发现，已在Webmin 2.111版本中修复，建议所有Webmin用户立即更新。

🚨 **高危漏洞**：Webmin存在CVE-2024-12828漏洞，CVSS评分高达9.9，允许攻击者远程执行任意代码，威胁极大。

🛡️ **命令注入**：漏洞根源在于Webmin的CGI请求处理中，未能正确过滤用户输入，导致恶意命令注入，并以root权限执行。

🔑 **权限提升**：即使是低权限的Webmin用户，也可利用此漏洞提升权限，最终完全控制服务器，风险极高。

💥 **严重后果**：漏洞利用可能导致服务器完全控制、敏感数据泄露、恶意软件部署，甚至将受害服务器作为攻击跳板。

流行的基于网络的系统管理工具 Webmin 被发现存在一个严重的安全漏洞（CVE-2024-12828），攻击者可利用该漏洞控制服务器。据估计，Webmin 在全球的安装量已达一百万，该漏洞的影响范围可能非常广泛。该漏洞的 CVSS 得分为 9.9，源于 Webmin 的 CGI 请求处理中的命令注入漏洞。从本质上讲，该软件未能正确地对用户提供的输入进行消毒，从而使攻击者能够注入恶意命令，然后以 root 权限执行这些命令。“此漏洞允许远程攻击者在受影响的 Webmin 安装程序上执行任意代码。利用该漏洞需要进行身份验证。”这个漏洞之所以特别危险，是因为它可以被权限较低的 Webmin 用户利用。这意味着，即使攻击者没有完全的管理权限，他们也有可能提升权限，完全控制服务器。CVE-2024-12828 的可利用性可能会带来破坏性后果，包括：完全控制服务器未经授权访问敏感数据部署恶意脚本和勒索软件利用被入侵的服务器作为进一步攻击的平台该漏洞由趋势科技的 “零日计划 ”发现，并已在 Webmin 2.111 版本中得到解决。强烈建议所有 Webmin 和 Virtualmin 管理员立即更新其安装。