Vulnerability Details CVE-2006-4542
Webmin before 1.296 and Usermin before 1.226 do not properly handle a URL with a null ("%00") character, which allows remote attackers to conduct cross-site scripting (XSS), read CGI program source code, list directories, and possibly execute programs.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.035
EPSS Ranking 87.1%
CVSS Severity
CVSS v2 Score 6.8
References
- http://jvn.jp/jp/JVN%2399776858/index.html
- http://secunia.com/advisories/21690
- http://secunia.com/advisories/22087
- http://secunia.com/advisories/22114
- http://secunia.com/advisories/22556
- http://securitytracker.com/id?1016776
- http://securitytracker.com/id?1016777
- http://webmin.com/security.html
- http://www.debian.org/security/2006/dsa-1199
- http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/89_e.html
- http://www.mandriva.com/security/advisories?name=MDKSA-2006:170
- http://www.osvdb.org/28337
- http://www.osvdb.org/28338
- http://www.securityfocus.com/bid/19820
- http://www.vupen.com/english/advisories/2006/3424
- https://exchange.xforce.ibmcloud.com/vulnerabilities/28699
- http://jvn.jp/jp/JVN%2399776858/index.html
- http://secunia.com/advisories/21690
- http://secunia.com/advisories/22087
- http://secunia.com/advisories/22114
- http://secunia.com/advisories/22556
- http://securitytracker.com/id?1016776
- http://securitytracker.com/id?1016777
- http://webmin.com/security.html
- http://www.debian.org/security/2006/dsa-1199
- http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/89_e.html
- http://www.mandriva.com/security/advisories?name=MDKSA-2006:170
- http://www.osvdb.org/28337
- http://www.osvdb.org/28338
- http://www.securityfocus.com/bid/19820
- http://www.vupen.com/english/advisories/2006/3424
- https://exchange.xforce.ibmcloud.com/vulnerabilities/28699
Products affected by CVE-2006-4542
-
cpe:2.3:a:usermin:usermin:*
-
cpe:2.3:a:usermin:usermin:0.4
-
cpe:2.3:a:usermin:usermin:0.5
-
cpe:2.3:a:usermin:usermin:0.6
-
cpe:2.3:a:usermin:usermin:0.7
-
cpe:2.3:a:usermin:usermin:0.8
-
cpe:2.3:a:usermin:usermin:0.9
-
cpe:2.3:a:usermin:usermin:0.91
-
cpe:2.3:a:usermin:usermin:0.92
-
cpe:2.3:a:usermin:usermin:0.93
-
cpe:2.3:a:usermin:usermin:0.94
-
cpe:2.3:a:usermin:usermin:0.95
-
cpe:2.3:a:usermin:usermin:0.96
-
cpe:2.3:a:usermin:usermin:0.97
-
cpe:2.3:a:usermin:usermin:0.98
-
cpe:2.3:a:usermin:usermin:0.99
-
cpe:2.3:a:usermin:usermin:1.000
-
cpe:2.3:a:usermin:usermin:1.010
-
cpe:2.3:a:usermin:usermin:1.020
-
cpe:2.3:a:usermin:usermin:1.030
-
cpe:2.3:a:usermin:usermin:1.040
-
cpe:2.3:a:usermin:usermin:1.051
-
cpe:2.3:a:usermin:usermin:1.060
-
cpe:2.3:a:usermin:usermin:1.070
-
cpe:2.3:a:usermin:usermin:1.080
-
cpe:2.3:a:usermin:usermin:1.090
-
cpe:2.3:a:usermin:usermin:1.100
-
cpe:2.3:a:usermin:usermin:1.110
-
cpe:2.3:a:usermin:usermin:1.120
-
cpe:2.3:a:usermin:usermin:1.130
-
cpe:2.3:a:usermin:usermin:1.140
-
cpe:2.3:a:usermin:usermin:1.150
-
cpe:2.3:a:usermin:usermin:1.210
-
cpe:2.3:a:webmin:webmin:0.1
-
cpe:2.3:a:webmin:webmin:0.2
-
cpe:2.3:a:webmin:webmin:0.21
-
cpe:2.3:a:webmin:webmin:0.22
-
cpe:2.3:a:webmin:webmin:0.3
-
cpe:2.3:a:webmin:webmin:0.31
-
cpe:2.3:a:webmin:webmin:0.4
-
cpe:2.3:a:webmin:webmin:0.41
-
cpe:2.3:a:webmin:webmin:0.42
-
cpe:2.3:a:webmin:webmin:0.5
-
cpe:2.3:a:webmin:webmin:0.51
-
cpe:2.3:a:webmin:webmin:0.52
-
cpe:2.3:a:webmin:webmin:0.53
-
cpe:2.3:a:webmin:webmin:0.54
-
cpe:2.3:a:webmin:webmin:0.6
-
cpe:2.3:a:webmin:webmin:0.60
-
cpe:2.3:a:webmin:webmin:0.61
-
cpe:2.3:a:webmin:webmin:0.62
-
cpe:2.3:a:webmin:webmin:0.63
-
cpe:2.3:a:webmin:webmin:0.64
-
cpe:2.3:a:webmin:webmin:0.65
-
cpe:2.3:a:webmin:webmin:0.7
-
cpe:2.3:a:webmin:webmin:0.70
-
cpe:2.3:a:webmin:webmin:0.71
-
cpe:2.3:a:webmin:webmin:0.72
-
cpe:2.3:a:webmin:webmin:0.73
-
cpe:2.3:a:webmin:webmin:0.74
-
cpe:2.3:a:webmin:webmin:0.75
-
cpe:2.3:a:webmin:webmin:0.76
-
cpe:2.3:a:webmin:webmin:0.77
-
cpe:2.3:a:webmin:webmin:0.78
-
cpe:2.3:a:webmin:webmin:0.79
-
cpe:2.3:a:webmin:webmin:0.80
-
cpe:2.3:a:webmin:webmin:0.81
-
cpe:2.3:a:webmin:webmin:0.82
-
cpe:2.3:a:webmin:webmin:0.83
-
cpe:2.3:a:webmin:webmin:0.84
-
cpe:2.3:a:webmin:webmin:0.85
-
cpe:2.3:a:webmin:webmin:0.86
-
cpe:2.3:a:webmin:webmin:0.87
-
cpe:2.3:a:webmin:webmin:0.88
-
cpe:2.3:a:webmin:webmin:0.89
-
cpe:2.3:a:webmin:webmin:0.90
-
cpe:2.3:a:webmin:webmin:0.91
-
cpe:2.3:a:webmin:webmin:0.92
-
cpe:2.3:a:webmin:webmin:0.92.1
-
cpe:2.3:a:webmin:webmin:0.93
-
cpe:2.3:a:webmin:webmin:0.94
-
cpe:2.3:a:webmin:webmin:0.95
-
cpe:2.3:a:webmin:webmin:0.950
-
cpe:2.3:a:webmin:webmin:0.96
-
cpe:2.3:a:webmin:webmin:0.960
-
cpe:2.3:a:webmin:webmin:0.97
-
cpe:2.3:a:webmin:webmin:0.970
-
cpe:2.3:a:webmin:webmin:0.98
-
cpe:2.3:a:webmin:webmin:0.980
-
cpe:2.3:a:webmin:webmin:0.99
-
cpe:2.3:a:webmin:webmin:0.990
-
cpe:2.3:a:webmin:webmin:1.0.00
-
cpe:2.3:a:webmin:webmin:1.0.10
-
cpe:2.3:a:webmin:webmin:1.0.20
-
cpe:2.3:a:webmin:webmin:1.0.30
-
cpe:2.3:a:webmin:webmin:1.0.40
-
cpe:2.3:a:webmin:webmin:1.0.50
-
cpe:2.3:a:webmin:webmin:1.0.51
-
cpe:2.3:a:webmin:webmin:1.0.60
-
cpe:2.3:a:webmin:webmin:1.0.70
-
cpe:2.3:a:webmin:webmin:1.0.80
-
cpe:2.3:a:webmin:webmin:1.0.90
-
cpe:2.3:a:webmin:webmin:1.000
-
cpe:2.3:a:webmin:webmin:1.1.00
-
cpe:2.3:a:webmin:webmin:1.1.10
-
cpe:2.3:a:webmin:webmin:1.1.20
-
cpe:2.3:a:webmin:webmin:1.1.21
-
cpe:2.3:a:webmin:webmin:1.1.30
-
cpe:2.3:a:webmin:webmin:1.1.40
-
cpe:2.3:a:webmin:webmin:1.1.50
-
cpe:2.3:a:webmin:webmin:1.2.20
-
cpe:2.3:a:webmin:webmin:1.2.30
-
cpe:2.3:a:webmin:webmin:1.2.40
-
cpe:2.3:a:webmin:webmin:1.2.50
-
cpe:2.3:a:webmin:webmin:1.2.60
-
cpe:2.3:a:webmin:webmin:1.2.70
-
cpe:2.3:a:webmin:webmin:1.2.80