網頁型管理工具Webmin漏洞, CVE-2026-22678

Webmin是 Linux伺服器網頁型管理工具, 可透過瀏覽器管理帳號、服務、網路與系統設定, 以前曾使用過用來管理伺服器非常方便, 但覺得可以從網頁管理整個主機很不保險後來就沒再用了

CVE-2026-22678是影響 Webmin的一個儲存型跨網站指令碼(Stored Cross-Site Scripting, Stored XSS)漏洞, 影響 2.641之前的版本, 漏洞位於 System and Server Status模組中的 Email Template(電子郵件通知範本)功能, 攻擊者可以在 Email Template Description欄位輸入包含 JavaScript的惡意內容, 惡意 JavaScript會永久保存在系統中, 當管理者之後瀏覽該頁面時瀏覽器便會執行這段 JavaScript, 可能導致竊取管理者 Session Cookie, 以管理者身分操作 Webmin, 執行管理員可執行的管理功能, 新增後門帳號, 修改系統設定, 在某些情況下甚至可能間接導致作業系統層級的命令執行, 不過攻擊者必須先具備一個合法登入 Webmin的帳號及能夠存取 Email Template功能

官方已在 Webmin 2.641修正此問題, 立即升級至 2.641 或更新版本