Vulnerabilities > CVE-2019-15641 - XXE vulnerability in Webmin

CVSS 6.8 - MEDIUM

Attack vector

NETWORK

Attack complexity

LOW

Privileges required

SINGLE

Confidentiality impact

COMPLETE

Integrity impact

NONE

Availability impact

NONE

network

low complexity

webmin

CWE-611

NVD

Published: 2019-08-26

Updated: 2019-08-30

Summary

xmlrpc.cgi in Webmin through 1.930 allows authenticated XXE attacks. By default, only root, admin, and sysadm can access xmlrpc.cgi.

Vulnerable Configurations

Part	Description	Count
Application	Webmin Webmin Webmin 0.1 Webmin Webmin 0.2 Webmin Webmin 0.3 Webmin Webmin 0.4 Webmin Webmin 0.5 Webmin Webmin 0.21 Webmin Webmin 0.22 Webmin Webmin 0.31 Webmin Webmin 0.41 Webmin Webmin 0.42 Webmin Webmin 0.51 Webmin Webmin 0.52 Webmin Webmin 0.53 Webmin Webmin 0.54 Webmin Webmin 0.60 Webmin Webmin 0.61 Webmin Webmin 0.62 Webmin Webmin 0.63 Webmin Webmin 0.64 Webmin Webmin 0.65 Webmin Webmin 0.70 Webmin Webmin 0.71 Webmin Webmin 0.72 Webmin Webmin 0.73 Webmin Webmin 0.74 Webmin Webmin 0.75 Webmin Webmin 0.76 Webmin Webmin 0.77 Webmin Webmin 0.78 Webmin Webmin 0.79 Webmin Webmin 0.80 Webmin Webmin 0.81 Webmin Webmin 0.82 Webmin Webmin 0.83 Webmin Webmin 0.84 Webmin Webmin 0.85 Webmin Webmin 0.86 Webmin Webmin 0.87 Webmin Webmin 0.88 Webmin Webmin 0.89 Webmin Webmin 0.90 Webmin Webmin 0.91 Webmin Webmin 0.92 Webmin Webmin 0.93 Webmin Webmin 0.94 Webmin Webmin 0.950 Webmin Webmin 0.960 Webmin Webmin 0.970 Webmin Webmin 0.980 Webmin Webmin 0.990 Webmin Webmin 1.000 Webmin Webmin 1.020 Webmin Webmin 1.030 Webmin Webmin 1.040 Webmin Webmin 1.050 Webmin Webmin 1.060 Webmin Webmin 1.070 Webmin Webmin 1.080 Webmin Webmin 1.090 Webmin Webmin 1.100 Webmin Webmin 1.110 Webmin Webmin 1.120 Webmin Webmin 1.121 Webmin Webmin 1.130 Webmin Webmin 1.140 Webmin Webmin 1.150 Webmin Webmin 1.160 Webmin Webmin 1.170 Webmin Webmin 1.180 Webmin Webmin 1.190 Webmin Webmin 1.200 Webmin Webmin 1.210 Webmin Webmin 1.220 Webmin Webmin 1.230 Webmin Webmin 1.240 Webmin Webmin 1.250 Webmin Webmin 1.260 Webmin Webmin 1.270 Webmin Webmin 1.280 Webmin Webmin 1.290 Webmin Webmin 1.300 Webmin Webmin 1.310 Webmin Webmin 1.320 Webmin Webmin 1.330 Webmin Webmin 1.340 Webmin Webmin 1.350 Webmin Webmin 1.360 Webmin Webmin 1.370 Webmin Webmin 1.380 Webmin Webmin 1.390 Webmin Webmin 1.400 Webmin Webmin 1.410 Webmin Webmin 1.420 Webmin Webmin 1.430 Webmin Webmin 1.440 Webmin Webmin 1.441 Webmin Webmin 1.450 Webmin Webmin 1.460 Webmin Webmin 1.470 Webmin Webmin 1.480 Webmin Webmin 1.490 Webmin Webmin 1.500 Webmin Webmin 1.510 Webmin Webmin 1.520 Webmin Webmin 1.530 Webmin Webmin 1.540 Webmin Webmin 1.560 Webmin Webmin 1.570 Webmin Webmin 1.580 Webmin Webmin 1.590 Webmin Webmin 1.600 Webmin Webmin 1.610 Webmin Webmin 1.620 Webmin Webmin 1.630 Webmin Webmin 1.640 Webmin Webmin 1.650 Webmin Webmin 1.660 Webmin Webmin 1.670 Webmin Webmin 1.680 Webmin Webmin 1.690 Webmin Webmin 1.700 Webmin Webmin 1.710 Webmin Webmin 1.720 Webmin Webmin 1.730 Webmin Webmin 1.740 Webmin Webmin 1.750 Webmin Webmin 1.760 Webmin Webmin 1.770 Webmin Webmin 1.780 Webmin Webmin 1.791 Webmin Webmin 1.801 Webmin Webmin 1.810 Webmin Webmin 1.820 Webmin Webmin 1.830 Webmin Webmin 1.831 Webmin Webmin 1.840 Webmin Webmin 1.850 Webmin Webmin 1.860 Webmin Webmin 1.870 Webmin Webmin 1.880 Webmin Webmin 1.881 Webmin Webmin 1.890 Webmin Webmin 1.900 Webmin Webmin 1.910 Webmin Webmin 1.920 Webmin Webmin 1.930	146

Common Weakness Enumeration (CWE)

CWE-611 - Improper Restriction of XML External Entity Reference ('XXE')

References

https://www.calypt.com/blog/index.php/authenticated-xxe-on-webmin/