Vulnerabilities ›

CVE-2019-15107

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Webmin Command Injection in Password Change Module (CVE-2019-15107)

                    Published: Mar 25, 2022                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Webmin Command Injection Vulnerability — An issue was discovered in Webmin. The parameter old in password_change.cgi contains a command injection vulnerability.

🤖 AI Executive Summary

CVE-2019-15107 is a critical command injection vulnerability in Webmin's password_change.cgi script, allowing unauthenticated remote attackers to execute arbitrary OS commands via the 'old' password parameter. With a CVSS score of 9.0 and a public exploit available, this vulnerability poses an immediate and severe threat to any internet-facing Webmin installation. Successful exploitation grants full system-level access, enabling data exfiltration, ransomware deployment, or persistent backdoor installation. Saudi organizations using Webmin for Linux/Unix server administration must treat this as an emergency patching priority.

📄 Description (Arabic)

تم اكتشاف ثغرة حقن أوامر حرجة في وحدة تغيير كلمة المرور بـ Webmin. المعامل 'old' في ملف password_change.cgi لا يقوم بتصفية المدخلات بشكل صحيح، مما يسمح بحقن أوامر نظام تعسفية. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أوامر بامتيازات عالية جداً. هذه الثغرة لها استغلال نشط متاح وتؤثر على إصدارات متعددة من Webmin.

🤖 ملخص تنفيذي (AI)

CVE-2019-15107 هي ثغرة حرجة في حقن الأوامر ضمن نص Webmin البرمجي password_change.cgi، تتيح للمهاجمين عن بُعد دون مصادقة تنفيذ أوامر نظام تشغيل عشوائية عبر معامل كلمة المرور القديمة. بدرجة CVSS تبلغ 9.0 وتوفر استغلال عام، تشكّل هذه الثغرة تهديداً فورياً وخطيراً لأي تثبيت Webmin مكشوف على الإنترنت. يمنح الاستغلال الناجح وصولاً كاملاً على مستوى النظام، مما يتيح سرقة البيانات أو نشر برامج الفدية أو تثبيت أبواب خلفية دائمة. يجب على المنظمات السعودية التي تستخدم Webmin لإدارة خوادم Linux/Unix معالجة هذه الثغرة بصفة طارئة.

🤖 AI Intelligence Analysis Analyzed: Apr 14, 2026 10:58

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations across government, energy, and telecom sectors that rely on Webmin for Linux/Unix server administration are at critical risk. ARAMCO and affiliated energy sector entities managing large Linux server fleets for SCADA-adjacent systems face potential operational disruption. Government agencies under NCA oversight using Webmin for administrative tasks risk full server compromise and lateral movement into sensitive networks. Telecom providers such as STC and Zain managing infrastructure via Webmin could face service disruption. Healthcare organizations using Linux-based systems for patient data management are at risk of data breaches violating PDPL regulations. Banking institutions under SAMA supervision with Webmin-managed backend servers face potential financial data exposure and regulatory penalties.

🏢 Affected Saudi Sectors

Government Energy Telecom Banking Healthcare Education Defense

🎯 MITRE ATT&CK Techniques

T1059 - Command and Scripting Interpreter T1190 - Exploit Public-Facing Application T1548 - Abuse Elevation Control Mechanism T1078 - Valid Accounts

⚖️ Saudi Risk Score (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Webmin installations across your environment using asset discovery tools or SIEM queries.

2. Immediately restrict access to Webmin (default port 10000) using firewall rules — block all external access and limit to trusted management IPs only.

3. Audit Webmin access logs for exploitation indicators: unusual POST requests to /password_change.cgi with shell metacharacters (|, ;, &&, $(), backticks).

PATCHING GUIDANCE:

4. Upgrade Webmin to version 1.930 or later immediately — this version addresses the command injection in password_change.cgi.

5. If immediate patching is not possible, disable the password change module via Webmin > Webmin Configuration > Webmin Modules.

6. Verify patch integrity after installation by checking the Webmin version at the login page.

COMPENSATING CONTROLS:

7. Implement Web Application Firewall (WAF) rules to block requests containing shell injection characters in the 'old' parameter.

8. Enable two-factor authentication on Webmin if upgrading is delayed.

9. Place Webmin behind a VPN or jump host — never expose directly to the internet.

10. Disable the 'Allow password changes' feature in Webmin security settings.

DETECTION RULES:

11. SIEM Rule: Alert on HTTP POST to /password_change.cgi containing characters: |, ;, &&, $(), `, >, <.

12. Monitor for unusual child processes spawned by Webmin (miniserv.pl) such as bash, sh, wget, curl, nc.

13. Check for new cron jobs, SSH keys, or user accounts created post-exploitation.

14. Deploy Sigma rule: process_creation where parent_image contains 'miniserv' and child_image contains shell binaries.

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع تثبيتات Webmin في بيئتك باستخدام أدوات اكتشاف الأصول أو استعلامات SIEM.

2. تقييد الوصول إلى Webmin فوراً (المنفذ الافتراضي 10000) باستخدام قواعد جدار الحماية — حظر جميع الوصول الخارجي والسماح فقط لعناوين IP الإدارية الموثوقة.

3. مراجعة سجلات وصول Webmin للكشف عن مؤشرات الاستغلال: طلبات POST غير عادية إلى /password_change.cgi تحتوي على محارف خاصة بالصدفة البرمجية.

إرشادات التصحيح:

4. ترقية Webmin إلى الإصدار 1.930 أو أحدث فوراً — يعالج هذا الإصدار حقن الأوامر في password_change.cgi.

5. إذا تعذّر التصحيح الفوري، تعطيل وحدة تغيير كلمة المرور عبر: Webmin > Webmin Configuration > Webmin Modules.

6. التحقق من سلامة التصحيح بعد التثبيت من خلال فحص إصدار Webmin في صفحة تسجيل الدخول.

ضوابط التعويض:

7. تطبيق قواعد جدار حماية تطبيقات الويب (WAF) لحظر الطلبات التي تحتوي على محارف حقن الصدفة في معامل 'old'.

8. تفعيل المصادقة الثنائية على Webmin في حال تأخر الترقية.

9. وضع Webmin خلف VPN أو خادم وسيط — عدم كشفه مباشرة على الإنترنت.

10. تعطيل ميزة 'السماح بتغيير كلمة المرور' في إعدادات أمان Webmin.

قواعد الكشف:

11. قاعدة SIEM: تنبيه عند HTTP POST إلى /password_change.cgi يحتوي على محارف: |، ;، &&، $()، `، >، <.

12. مراقبة العمليات الفرعية غير المعتادة التي تنشئها Webmin (miniserv.pl) مثل bash وsh وwget وcurl وnc.

13. التحقق من وجود مهام cron جديدة أو مفاتيح SSH أو حسابات مستخدمين تم إنشاؤها بعد الاستغلال.

14. نشر قاعدة Sigma: إنشاء عملية حيث تحتوي صورة الأصل على 'miniserv' وتحتوي صورة العملية الفرعية على ثنائيات الصدفة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-4-2: Cybersecurity Vulnerability Management ECC-1-3-2: Secure Configuration Management ECC-2-2-1: Access Control and Authentication ECC-1-5-1: Patch and Update Management ECC-2-6-1: Network Security Controls

🔵 SAMA CSF

3.3.3 Vulnerability Management 3.3.5 Patch Management 3.2.5 Access Control Management 3.3.6 Penetration Testing 3.4.2 Cyber Incident Management

🟡 ISO 27001:2022

A.8.8 Management of Technical Vulnerabilities A.8.9 Configuration Management A.8.20 Network Security A.8.15 Logging A.5.24 Information Security Incident Management Planning

🟣 PCI DSS v4.0

Requirement 6.3.3: All system components are protected from known vulnerabilities Requirement 6.4.1: Web-facing applications are protected against attacks Requirement 7.2: Access control systems are in place Requirement 10.2: Audit logs are implemented

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Webmin:Webmin

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS94.46%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2022-04-15

Published 2022-03-25

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.2

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2019-15107

Introduce Yourself

Sign In Required