Mauro Caseres

**Nome do software vulnerável e versões afetadas** Versões 1.941 e anteriores do Webmin **Descrição** Existe uma falha de segurança na função Salvar do Módulo de Leitura de E-mails do Usuário, especificamente no “ponto final das caixas de correio”, onde ela não consegue sanitizar elementos SCRIPT ao salvar e-mails em HTML. Isso contrasta com a função Visualizar, que sanitiza corretamente as entradas. Como resultado, um usuário mal-intencionado pode injetar e executar cargas de JavaScript enviando-as no corpo da mensagem de um e-mail, que serão executadas se o usuário tentar salvar o e-mail. **Recomendações** Para as versões 1.941 e anteriores do Webmin, como solução temporária, considere desativar a função Salvar do Módulo de Leitura de E-mails do Usuário até que um patch esteja disponível. Restrinja o acesso ao Endpoint de caixas de correio para minimizar o risco de exploração. Evite usar a função Salvar para e-mails em HTML até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 1.941 e anteriores do Webmin **Descrição** Existe uma falha que permite que um usuário insira qualquer carga XSS no campo `Command` do endpoint “Cluster Shell Commands” e a execute. Ao acessar novamente o menu “Cluster Shell Commands”, a carga XSS será renderizada e executada. **Recomendações** Para as versões 1.941 e anteriores do Webmin, considere desativar o acesso ao endpoint “Cluster Shell Commands” até que uma correção esteja disponível. Como solução alternativa temporária, restrinja a capacidade de inserir comandos personalizados no campo “Command” para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do software vulnerável e versões afetadas** Versões 1.941 e anteriores do Webmin **Descrição** O problema está relacionado à validação inadequada de dados no ponto de extremidade do Shell de Comandos, permitindo que um usuário insira código HTML no campo de comando. Após enviar o código e acessar o menu “Action Logs” (Registros de Ações) para exibir os registros, o código HTML é renderizado, embora o JavaScript não seja executado. As alterações persistem entre diferentes usuários. **Recomendações** Para as versões 1.941 e anteriores do Webmin, atualize para uma versão posterior à 1.941 para resolver o problema. No momento, não há informações sobre outras correções específicas para esta vulnerabilidade.