一、 漏洞 CVE-2025-61541 基础信息
漏洞信息
# N/A
## 概述
Webmin 2.510 存在一个主机头注入(Host Header Injection)漏洞,影响密码重置功能(`forgot_send.cgi`)。
## 影响版本
Webmin 2.510
## 细节
密码重置邮件中的链接通过 `get_webmin_email_url()` 函数构造,该函数直接使用 HTTP Host 请求头。攻击者可以篡改 Host 请求头,将恶意域名注入到重置链接中。
## 影响
若用户点击了被篡改的重置链接,攻击者可截获密码重置令牌,从而完全控制受害者的账户。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Webmin 2.510 is vulnerable to a Host Header Injection in the password reset functionality (forgot_send.cgi). The reset link sent to users is constructed using the HTTP Host header via get_webmin_email_url(). An attacker can manipulate the Host header to inject a malicious domain into the reset email. If a victim follows the poisoned link, the attacker can intercept the reset token and gain full control of the target account.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Webmin 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。 Webmin 2.510版本存在安全漏洞,该漏洞源于密码重置功能中未验证HTTP Host标头,可能导致攻击者注入恶意域名并拦截重置令牌,从而完全控制目标账户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-61541 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-61541 的情报信息
-
标题: GitHub - webmin/webmin: Powerful and flexible web-based server management control panel -- 🔗来源链接
标签:
神龙速读
-
-
标题: Vulnerability-Research/CVE-2025-61541 at main · bugdotexe/Vulnerability-Research · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-61541
四、漏洞 CVE-2025-61541 的评论
暂无评论