Vulnerability Name:

CVE-2020-12670 (CCN-189713)

Assigned:2020-05-06
Published:2020-05-06
Updated:2020-10-16
Summary:XSS exists in Webmin 1.941 and earlier affecting the Save function of the Read User Email Module / mailboxes Endpoint when attempting to save HTML emails. This module parses any output without sanitizing SCRIPT elements, as opposed to the View function, which sanitizes the input correctly. A malicious user can send any JavaScript payload into the message body and execute it if the user decides to save that email.
CVSS v3 Severity:6.1 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
5.3 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope:Scope (S): Changed
Impact Metrics:Confidentiality (C): Low
Integrity (I): Low
Availibility (A): None
6.1 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
5.3 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope:Scope (S): Changed
Impact Metrics:Confidentiality (C): Low
Integrity (I): Low
Availibility (A): None
CVSS v2 Severity:4.3 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Authentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
5.5 Medium (CCN CVSS v2 Vector: AV:N/AC:L/Au:S/C:P/I:P/A:N)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Athentication (Au): Single_Instance
Impact Metrics:Confidentiality (C): Partial
Integrity (I): Partial
Availibility (A): None
Vulnerability Type:CWE-79
Vulnerability Consequences:Cross-Site Scripting
References:Source: MITRE
Type: CNA
CVE-2020-12670

Source: XF
Type: UNKNOWN
webmin-cve202012670-xss(189713)

Source: CCN
Type: Webmin Web site
Webmin

Source: CONFIRM
Type: Vendor Advisory
https://www.webmin.com/security.html

Vulnerable Configuration:Configuration 1:
  • cpe:/a:webmin:webmin:*:*:*:*:*:*:*:* (Version <= 1.941)

    • Configuration CCN 1:
  • cpe:/a:webmin:webmin:1.540:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.580:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.600:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.670:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.690:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.1:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.2:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.21:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.22:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.3:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.31:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.4:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.41:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.42:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.5:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.51:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.52:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.53:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.54:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.60:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.61:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.62:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.63:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.64:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.65:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.70:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.71:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.72:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.73:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.74:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.75:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.76:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.77:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.78:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.79:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.80:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.81:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.82:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.83:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.84:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.85:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.86:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.87:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.88:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.89:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.90:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.91:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.92:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.93:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.94:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.950:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.960:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.970:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.980:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:0.990:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.000:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.020:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.030:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.040:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.050:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.060:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.070:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.080:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.090:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.100:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.110:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.121:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.130:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.140:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.150:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.160:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.170:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.180:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.190:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.200:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.210:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.220:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.230:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.240:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.250:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.260:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.270:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.280:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.290:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.300:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.310:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.320:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.330:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.340:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.350:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.360:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.370:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.380:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.390:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.400:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.410:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.420:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.430:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.440:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.441:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.450:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.460:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.470:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.480:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.490:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.500:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.510:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.520:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.530:*:*:*:*:*:*:*
  • OR cpe:/a:gentoo:webmin:1.550:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.560:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.570:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.590:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.610:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.620:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.630:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.640:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.650:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.660:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.680:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.720:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.820:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.840:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.850:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.880:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.890:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.900:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.910:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.920:*:*:*:*:*:*:*
  • OR cpe:/a:webmin:webmin:1.930:*:*:*:*:*:*:*

    • * Denotes that component is vulnerable
    BACK
    webmin webmin *
    webmin webmin 1.540
    webmin webmin 1.580
    webmin webmin 1.600
    webmin webmin 1.670
    webmin webmin 1.690
    webmin webmin 0.1
    webmin webmin 0.2
    webmin webmin 0.21
    webmin webmin 0.22
    webmin webmin 0.3
    webmin webmin 0.31
    webmin webmin 0.4
    webmin webmin 0.41
    webmin webmin 0.42
    webmin webmin 0.5
    webmin webmin 0.51
    webmin webmin 0.52
    webmin webmin 0.53
    webmin webmin 0.54
    webmin webmin 0.60
    webmin webmin 0.61
    webmin webmin 0.62
    webmin webmin 0.63
    webmin webmin 0.64
    webmin webmin 0.65
    webmin webmin 0.70
    webmin webmin 0.71
    webmin webmin 0.72
    webmin webmin 0.73
    webmin webmin 0.74
    webmin webmin 0.75
    webmin webmin 0.76
    webmin webmin 0.77
    webmin webmin 0.78
    webmin webmin 0.79
    webmin webmin 0.80
    webmin webmin 0.81
    webmin webmin 0.82
    webmin webmin 0.83
    webmin webmin 0.84
    webmin webmin 0.85
    webmin webmin 0.86
    webmin webmin 0.87
    webmin webmin 0.88
    webmin webmin 0.89
    webmin webmin 0.90
    webmin webmin 0.91
    webmin webmin 0.92
    webmin webmin 0.93
    webmin webmin 0.94
    webmin webmin 0.950
    webmin webmin 0.960
    webmin webmin 0.970
    webmin webmin 0.980
    webmin webmin 0.990
    webmin webmin 1.000
    webmin webmin 1.020
    webmin webmin 1.030
    webmin webmin 1.040
    webmin webmin 1.050
    webmin webmin 1.060
    webmin webmin 1.070
    webmin webmin 1.080
    webmin webmin 1.090
    webmin webmin 1.100
    webmin webmin 1.110
    webmin webmin 1.121
    webmin webmin 1.130
    webmin webmin 1.140
    webmin webmin 1.150
    webmin webmin 1.160
    webmin webmin 1.170
    webmin webmin 1.180
    webmin webmin 1.190
    webmin webmin 1.200
    webmin webmin 1.210
    webmin webmin 1.220
    webmin webmin 1.230
    webmin webmin 1.240
    webmin webmin 1.250
    webmin webmin 1.260
    webmin webmin 1.270
    webmin webmin 1.280
    webmin webmin 1.290
    webmin webmin 1.300
    webmin webmin 1.310
    webmin webmin 1.320
    webmin webmin 1.330
    webmin webmin 1.340
    webmin webmin 1.350
    webmin webmin 1.360
    webmin webmin 1.370
    webmin webmin 1.380
    webmin webmin 1.390
    webmin webmin 1.400
    webmin webmin 1.410
    webmin webmin 1.420
    webmin webmin 1.430
    webmin webmin 1.440
    webmin webmin 1.441
    webmin webmin 1.450
    webmin webmin 1.460
    webmin webmin 1.470
    webmin webmin 1.480
    webmin webmin 1.490
    webmin webmin 1.500
    webmin webmin 1.510
    webmin webmin 1.520
    webmin webmin 1.530
    gentoo webmin 1.550
    webmin webmin 1.560
    webmin webmin 1.570
    webmin webmin 1.590
    webmin webmin 1.610
    webmin webmin 1.620
    webmin webmin 1.630
    webmin webmin 1.640
    webmin webmin 1.650
    webmin webmin 1.660
    webmin webmin 1.680
    webmin webmin 1.720
    webmin webmin 1.820
    webmin webmin 1.840
    webmin webmin 1.850
    webmin webmin 1.880
    webmin webmin 1.890
    webmin webmin 1.900
    webmin webmin 1.910
    webmin webmin 1.920
    webmin webmin 1.930