У пакеті , що надає засоби для віддаленого керування сервером, бекдор (), виявлений в офіційних збірках проекту, через Sourceforge та на основному сайті. Бекдор був присутній у збірках з 1.882 по 1.921 включно (в git-репозиторії код з бекдором був відсутній) і дозволяв без проходження автентифікації виконати довільні shell-команди в системі з правами root.
Для атаки достатньо наявності відкритого мережевого порту з Webmin та активності у web-інтерфейсі функції зміни застарілого пароля (за замовчуванням включена у збірках 1.890, але в інших версіях вимкнена). Проблема в 1.930. Як тимчасовий захід для блокування бекдору достатньо прибрати налаштування «passwd_mode=» з конфігураційного файлу /etc/webmin/miniserv.conf. Для тестування підготовлено .
Проблема була у скрипті password_change.cgi, у якому для перевірки введеного у web-формі старого пароля функція unix_crypt, якою передається отриманий від користувача пароль без виконання екранування спецсимволів. У git-репозиторії дана функція обв'язкою над модулем Crypt::UnixCrypt і не становить небезпеки, але в архіві з кодом, що поставляється на сайті Sourceforge, викликається код, який безпосередньо звертається до /etc/shadow, але робить це за допомогою shell-конструкції. Для атаки достатньо вказати у полі зі старим паролем символ «|» і наступний після нього код буде виконано з правами root на сервері.
За розробників Webmin, шкідливий код було підставлено в результаті компрометації інфраструктури проекту. Подробиці поки не повідомляються, тому не ясно, чи обмежився злом захопленням управління над обліковим записом у Sourceforge або торкнувся й інших елементів інфраструктури розробки та складання Webmin. Шкідливий код був присутній в архівах з березня 2018 року. Проблема також торкнулася . В даний час всі завантажувальні архіви перебрані з Git.
Джерело: opennet.ru