[TLP:CLEAR] Webmin/Virtualmin opravujú DoS/resource exhaustion zraniteľnosť
Administračné nástroje Webmin 2.202 a Virtualmin 7.20.2 opravujú UDP komunikačnú slučku.
Neautentizovaný vzdialený útočník môže vo východzej konfigurácii spôsobiť prostredníctvom podvrhnutej komunikácie nekonečnú komunikačnú slučku medzi dvoma inštanciami, vedúcu na vyčerpanie prostriedkov a odopretie služby [1]. Zneužitie je triviálne [2]. K zraniteľnosti vo Webmin/Virtualmin [3] zatiaľ nebol publikovaný PoC exploit.
Zraniteľnosť sa nachádza v produktoch:
- webmin vo verziách <2.202
- virtualmin vo verziách <7.20.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
Viac informácií:
- CVE-2024-2169 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-45692 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 3. 2021.