Vulnerability CVE-2014-3886 - CERT Civis.Net

Vulnerability Name:

CVE-2014-3886 (CCN-93921)

Assigned:

2014-06-20

Published:

2014-06-20

Updated:

2014-07-22

Summary:

Cross-site scripting (XSS) vulnerability in Webmin before 1.690, when referrer checking is disabled, allows remote attackers to inject arbitrary web script or HTML via unspecified vectors.
Note: this might overlap CVE-2014-3924.

CVSS v3 Severity:

3.7 Low (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

Exploitability Metrics:	Attack Vector (AV): Network Attack Complexity (AC): High Privileges Required (PR): None User Interaction (UI): None
Scope:	Scope (S): Unchanged
Impact Metrics:	Confidentiality (C): None Integrity (I): Low Availibility (A): None

CVSS v2 Severity:

2.6 Low (CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N)
2.2 Low (Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): High Authentication (Au): None
Impact Metrics:	Confidentiality (C): None Integrity (I): Partial Availibility (A): None

2.6 Low (CCN CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N)
2.2 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:H/Au:N/C:N/I:P/A:N/E:H/RL:OF/RC:C)

Exploitability Metrics:	Access Vector (AV): Network Access Complexity (AC): High Athentication (Au): None
Impact Metrics:	Confidentiality (C): None Integrity (I): Partial Availibility (A): None

Vulnerability Type:

Vulnerability Consequences:

Cross-Site Scripting

References:

Source: MITRE
Type: CNA
CVE-2014-3886

Source: CCN
Type: JVN#02213197
Webmin vulnerable to cross-site scripting

Source: JVN
Type: Vendor Advisory
JVN#02213197

Source: JVNDB
Type: Vendor Advisory
JVNDB-2014-000060

Source: CCN
Type: OSVDB ID: 108282
Webmin Unspecified XSS (2014-3886)

Source: CCN
Type: BID-68129
Webmin CVE-2014-3886 Cross Site Scripting Vulnerability

Source: CCN
Type: Webmin Web site
Webmin

Source: XF
Type: UNKNOWN
webmin-cve20143886-xss(93921)

Vulnerable Configuration:

Configuration 1:

cpe:/a:webmin:webmin:1.600:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.610:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.620:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.630:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.640:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.650:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.660:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.670:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:*:*:*:*:*:*:*:* (Version <= 1.680)

Configuration CCN 1:

cpe:/a:webmin:webmin:1.540:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.580:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.600:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.670:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.1:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.2:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.21:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.22:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.3:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.31:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.4:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.41:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.42:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.5:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.51:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.52:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.53:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.54:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.60:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.61:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.62:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.63:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.64:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.65:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.70:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.71:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.72:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.73:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.74:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.75:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.76:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.77:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.78:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.79:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.80:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.81:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.82:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.83:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.84:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.85:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.86:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.87:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.88:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.89:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.90:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.91:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.92:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.93:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.94:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.950:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.960:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.970:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.980:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:0.990:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.000:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.020:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.030:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.040:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.050:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.060:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.070:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.080:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.090:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.100:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.110:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.121:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.130:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.140:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.150:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.160:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.170:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.180:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.190:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.200:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.210:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.220:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.230:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.240:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.250:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.260:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.270:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.280:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.290:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.300:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.310:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.320:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.330:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.340:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.350:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.360:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.370:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.380:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.390:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.400:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.410:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.420:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.430:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.440:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.441:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.450:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.460:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.470:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.480:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.490:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.500:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.510:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.520:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.530:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.560:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.570:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.590:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.610:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.620:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.630:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.640:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.650:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.660:*:*:*:*:*:*:*

OR cpe:/a:webmin:webmin:1.680:*:*:*:*:*:*:*

Denotes that component is vulnerable