Il laboratorio di ricerca offensiva di TIM ha individuato una vulnerabilità critica in Webmin, il pannello di amministrazione via web per server Linux più diffuso al mondo. Il bug, tracciato come CVE-2026-49103 e classificato con CVSSv4 pari a 9,4/10 (Critical), consente l'esecuzione di codice remoto con privilegi di root.
Cosa è stato scoperto
Il TIM Red Team Research — il team interno a TIM dedicato ad attività di ethical hacking, bug hunting e ricerca su vulnerabilità zero-day — ha identificato un difetto nelle versioni di Webmin precedenti alla 2.640. Si tratta di una vulnerabilità di tipo path traversal (CWE-24), localizzata nel componente che gestisce il download degli allegati email (mailboxes/detachall.cgi).
In sintesi, il modulo di gestione della posta di Webmin non sanifica correttamente i nomi dei file negli allegati. Un allegato costruito ad arte, con un nome contenente sequenze di traversamento di percorso, può indurre il sistema a scrivere un file arbitrario al di fuori della directory prevista, con gli stessi privilegi con cui gira il processo Webmin — tipicamente root. Se questo file finisce, ad esempio, in una directory di cron job, l'attaccante ottiene di fatto l'esecuzione di comandi arbitrari sul server.
Come può essere sfruttata
Secondo quanto documentato nell'advisory pubblicato da TIM, la catena d'attacco richiede che l'attaccante conosca l'indirizzo email di un utente Webmin abilitato alla lettura della posta ("Read User Email"), ma non richiede alcuna autenticazione preventiva sul sistema target. È sufficiente inviare un'email con un allegato malevolo in formato compresso: quando la vittima, all'interno dell'interfaccia Webmin, sceglie di scaricare tutti gli allegati, il componente vulnerabile scompatta il file nel percorso manipolato dall'attaccante, aprendo la strada all'esecuzione di codice sul server nel giro di pochi istanti.
Va sottolineato che si tratta di uno scenario che richiede comunque un'interazione da parte della vittima (l'apertura dell'allegato), ma la combinazione tra assenza di autenticazione richiesta all'attaccante, privilegi root ottenibili e ampia diffusione del software rende il rischio particolarmente elevato.
Perché Webmin è un bersaglio rilevante
Webmin è un progetto open source molto diffuso per l'amministrazione grafica di server Linux, con una base installata stimata in milioni di istanze a livello globale. Il software risulta inoltre censito nel Technical Reference Model del Department of Veterans Affairs statunitense, a conferma di un utilizzo che coinvolge anche contesti istituzionali e infrastrutture sensibili. Una vulnerabilità critica su un prodotto con questa diffusione ha quindi un potenziale impatto su larga scala.
Il ruolo del TIM Red Team Research
La scoperta si inserisce nell'attività di Coordinated Vulnerability Disclosure che TIM porta avanti dal 2019 attraverso il proprio Red Team Research: individuazione di vulnerabilità zero-day tramite reverse engineering e testing mirato, seguita da una gestione responsabile della disclosure in collaborazione con vendor e maintainer. Il team ha contribuito, dalla fine del 2019 a oggi, alla pubblicazione di oltre 200 CVE, di cui 18 con severity critical.
Cosa fare
Chi gestisce istanze Webmin dovrebbe:
- verificare la versione installata e aggiornare quanto prima a Webmin 2.640 o successiva, dove il problema risulta corretto;
- se l'aggiornamento immediato non è possibile, limitare l'esposizione del pannello di amministrazione a reti fidate e valutare la disabilitazione temporanea del privilegio "Read User Email" per gli utenti non strettamente necessari;
- monitorare i log del componente mailboxes per eventuali tentativi di sfruttamento.
Fonti: advisory tecnico pubblicato da Gruppo TIM (Vulnerability Research), scheda CVE-2026-49103, articolo di Red Hot Cyber.