CVE-2026-56020
WysokieCVSS 8.1Streszczenie
Serwer HTTP Webmin (miniserv.pl) pozwala nieautoryzowanym atakującym na podszywanie się pod dowolnego użytkownika posiadającego skonfigurowany certyfikat SSL klienta poprzez wysłanie sfałszowanego nagłówka HTTP. Atakujący zdalny może podrobić DN certyfikatu i uwierzytelnić się jako dowolny użytkownik.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie dostępu do kont użytkowników bez ich zgody. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
Rekomendacja
Zaleca się aktualizację do wersji 2.641, aby usunąć tę podatność. Dodatkowo warto rozważyć wprowadzenie dodatkowych mechanizmów uwierzytelniania.
Oryginalny opis (angielski, źródło NVD)
The Webmin HTTP server (miniserv.pl) allows unauthenticated attackers to impersonate any user with a configured SSL client certificate by sending a forged HTTP header. A remote attacker can spoof certificate DNs and authenticate as any user. Fixed in 2.641.

