У пакету , који пружа алате за даљинско управљање сервером, задња врата (), који се налази у званичним верзијама пројекта, преко Соурцефоргеа и на главном сајту. Бацкдоор је био присутан у верзијама од 1.882 до 1.921 укључујући (није постојао код са бацкдоор-ом у гит спремишту) и дозвољавао је да се произвољне команде љуске извршавају на даљину без аутентификације на систему са роот правима.
За напад је довољно имати отворен мрежни порт са Вебмин-ом и активирати функцију за промену застарелих лозинки у веб интерфејсу (подразумевано омогућена у верзијама 1.890, али онемогућена у другим верзијама). Проблем в 1.930. Као привремену меру за блокирање бацкдоор-а, једноставно уклоните поставку „пассвд_моде=“ из /етц/вебмин/минисерв.цонф конфигурационе датотеке. Припремљен за тестирање .
Проблем је био у скрипти пассворд_цханге.цги, у којој се проверава стара лозинка унета у веб образац функција уник_црипт, којој се лозинка примљена од корисника преноси без избегавања специјалних знакова. У гит спремишту ова функција омотан око модула Црипт::УникЦрипт и није опасан, али архива кода која се налази на веб локацији Соурцефорге позива код који директно приступа /етц/схадов, али то ради помоћу конструкције љуске. За напад, само унесите симбол „|” у поље са старом лозинком. а следећи код након њега биће извршен са роот правима на серверу.
На Вебмин програмери, злонамерни код је убачен као резултат компромитовања инфраструктуре пројекта. Детаљи још нису дати, тако да није јасно да ли је хакирање било ограничено на преузимање контроле над Соурцефорге налогом или је утицало на друге елементе Вебмин развоја и инфраструктуре. Злонамерни код је присутан у архиви од марта 2018. године. Проблем је такође утицао . Тренутно су све архиве за преузимање поново направљене из Гита.
Извор: опеннет.ру