「Webmin」に認証バイパスなど複数の脆弱性 - 最新版で修正

サーバ管理ツール「Webmin」のセキュリティアップデートが公開された。複数の脆弱性が解消されている。

「Webmin」のHTTPサーバにおいて、細工したHTTPヘッダにより証明書DNを偽装して認証できる脆弱性「CVE-2026-56020」が判明したもの。

SSLクライアント証明書が登録された任意のユーザーになりすまし、リモートから操作を行うことが可能となる。

CVE番号を採番した米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）では、共通脆弱性評価システム「CVSSv4.0」におけるベーススコアを「9.2」、重要度を4段階中もっとも高い「クリティカル（Critical）」とした。「CVSSv3.1」では「8.1」、重要度を「高（High）」としている。

あわせて通知メールテンプレートを作成する権限を持つ場合に悪用できるクロスサイトスクリプティング（XSS）の脆弱性「CVE-2026-22678」も確認されている。管理者がブラウザでテンプレートを閲覧した際にスクリプトを実行させることが可能となる。

開発チームでは、現地時間2026年5月11日にリリースした「Webmin 2.641」でこれら脆弱性を修正。アップデートを呼びかけている。

（Security NEXT - 2026/06/19 ） ツイート

PR

関連記事

6月公表の「Splunk Enterprise」脆弱性、悪用を確認
FWやVPNの認証情報を攻撃者が大量保有 - 「FortiBleed」に要警戒
「nginx」に複数のクリティカル脆弱性 - 修正版が公開
「Splunk」向けのAI拡張ツールに複数の脆弱性
「Cisco ISE」にRCE脆弱性 - 端末の接続に影響するおそれも
「Chrome」が脆弱性33件を修正 - 「クリティカル」7件
「Cortex XSOAR」「XSIAM」向け「CommvaultSecurityIQ」連携に脆弱性
「Langflow」にRCE脆弱性 - フロー共有環境に影響
「Joomla」向け編集ツール「JCE」、脆弱性悪用に注意
「MariaDB」に複数脆弱性 - アップデートで修正