漏洞概述 CVE编号: CVE-2026-56020 标题: Webmin HTTP header authentication bypass 描述: Webmin HTTP服务器(miniserv.pl)允许未认证的攻击者通过发送伪造的HTTP头,使用配置的SSL客户端证书冒充任何用户。远程攻击者可以伪造证书DN并冒充任何用户。此问题在2.641版本中已修复。 影响范围 产品: Webmin 受影响版本: 从0到2.641 修复方案 修复版本: 2.641 其他信息 CNA: Cybersecurity and Infrastructure Security Agency (CISA) U.S. Civilian Government 更新时间: 2026-06-18 发布时间: 2026-06-18 CVSS评分: - 版本3.1: 8.1 (HIGH) - 版本4.0: 9.2 (CRITICAL) 参考链接 GitHub Release Notes Webmin Release Notes Raw GitHub Content CVE Entry 信用 Adem El Adeb: vuln.com/vuln1.com 备注 该漏洞允许未认证的远程攻击者通过伪造HTTP头进行身份验证绕过。 建议在2.641版本或更高版本中修复此漏洞。