一、概要

近日，华为云安全团队关注到流行的系统管理员工具Webmin官方发布安全告警， Webmin 1.930之前的版本存在远程代码执行漏洞（CVE-2019-15107）。在开启密码重置功能的场景下，攻击者可以通过该功能注入系统命令从而实现命令执行效果。

参考链接：

http://www.webmin.com/security.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、影响范围

漏洞影响的产品版本包括：

Webmin < 1.930

安全版本为：

Webmin 1.930

四、处置方案

目前Webmin官方已发布最新版本Webmin 1.930 修复了该漏洞，请受影响的用户尽快升级至最新版本：

下载链接：http://webmin.com/download.html

临时解决方案：

1.900 到 1.920版本的用户，编辑Webmin配置文件：/etc/webmin/miniserv.conf，注释或删除“passwd_mode=”行，然后运行 /etc/webmin/restart 重启服务命令。

注：修复漏洞前请将资料备份，并进行充分测试。