В популярной панели управления Unix-системами Webmin обнаружена уязвимость класса хранимой межсайтовой скриптовой атаки (stored XSS), которая давала возможность злоумышленнику с ограниченными правами скомпрометировать root-пользователей. Проблема получила идентификатор CVE-2026-22678 и затрагивает все версии Webmin до 2.641 включительно.
Уязвимость CVE-2026-22678
Уязвимость находится в модуле System and Server Status, который используется для мониторинга производительности системы и управления оповещениями. Как сообщается в официальном бюллетене безопасности Webmin, корень проблемы - недостаточная очистка вводимых пользователем данных в шаблонах почтовых уведомлений. Аутентифицированный, но недоверенный пользователь, имеющий права на создание или изменение этих шаблонов, может внедрить вредоносный JavaScript-код. Когда привилегированный пользователь (в том числе root) просматривает изменённый шаблон, скрипт выполняется в контексте его браузера, что и приводит к хранимой XSS-атаке.
Особенность этой уязвимости в том, что вредоносная нагрузка постоянно хранится на сервере. После внедрения злоумышленнику не требуется повторного взаимодействия с жертвой или доставки кода извне. Атака срабатывает каждый раз, когда администратор открывает поражённый модуль. Это делает выявление и нейтрализацию угрозы значительно более сложными по сравнению с классическими отражёнными XSS.
Успешная эксплуатация CVE-2026-22678 могла позволить атакующему выполнять широкий спектр деструктивных действий: перехватывать сессии пользователей, похищать учётные данные и совершать несанкционированные административные операции. Поскольку скрипт исполняется в сессии root-пользователя, происходит фактическое повышение привилегий: злоумышленник получает полный контроль над серверами, управляемыми через Webmin. В реальных условиях это грозило бы компрометацией системы, утечкой данных и перемещением атакующего внутри сети.
Исследователь безопасности Уэйд Спаркс (Wade Sparks) обнаружил уязвимость и ответственно сообщил о ней разработчикам. Команда Webmin подтвердила проблему и выпустила патч в версии 2.641. Пользователям настоятельно рекомендуется как можно скорее обновить установки. Администраторам также следует пересмотреть права пользователей в Webmin: убедиться, что изменять шаблоны уведомлений и другие чувствительные настройки могут только доверенные лица.
В качестве дополнительной меры защиты организациям стоит провести аудит существующих шаблонов на предмет подозрительных или несанкционированных скриптов, особенно если используется уязвимая версия. Внедрение веб-брандмауэров (WAF) и строгая политика валидации входных данных способны обеспечить дополнительный уровень защиты от подобных инъекций.
Эта публикация вновь обращает внимание на постоянную угрозу хранимых XSS-уязвимостей в административных инструментах. Она подчёркивает важность безопасного написания кода, особенно в компонентах, обрабатывающих пользовательский контент. По мере того как злоумышленники всё активнее нацеливаются на интерфейсы управления, поддержание актуального программного обеспечения и минимизация избыточных привилегий пользователей остаются ключевыми мерами для снижения поверхности атаки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-22678
- https://webmin.com/security/#webmin-prior-to-2641
- https://webmin.com/changelog/webmin-2.641-released/
