The remote Ubuntu 14.04 LTS / 16.04 LTS host has a package installed that is affected by multiple vulnerabilities as referenced in the USN-3118-1 advisory.

    It was discovered that the Mailman administrative web interface did not protect against cross-site request     forgery (CSRF) attacks. If an authenticated user were tricked into visiting a malicious website while     logged into Mailman, a remote attacker could perform administrative actions. This issue only affected     Ubuntu 12.04 LTS. (CVE-2016-7123)

    Nishant Agarwala discovered that the Mailman user options page did not protect against cross-site request     forgery (CSRF) attacks. If an authenticated user were tricked into visiting a malicious website while     logged into Mailman, a remote attacker could modify user options. (CVE-2016-6893)

Tenable has extracted the preceding description block directly from the Ubuntu security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

Mailman管理Webインターフェイスがクロスサイトリクエスト偽造（CSRF）攻撃に対する保護を提供しないことがわかりました。認証されたユーザーが誘導されて、Mailmanへのログイン中に悪意のあるWebサイトにアクセスした場合、リモートの攻撃者が管理アクションを実行する可能性があります。この問題の影響を受けるのは、Ubuntu 12.04 LTSのみです。
(CVE-2016-7123)

Nishant Agarwala氏は、Mailmanユーザーオプションページがクロスサイトリクエスト偽造（CSRF）攻撃に対する保護を提供しないことを発見しました。認証されたユーザーが誘導されて、Mailman へのログイン中に悪意のある Web サイトにアクセスした場合、リモートの攻撃者がユーザーオプションを変更する可能性があります。(CVE-2016-6893)。

注意: Tenable Network Security は、前述の説明ブロックをUbuntuセキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - より前の GNU Mailman の管理 Web インターフェイスにおけるクロスサイトリクエスト偽造（CSRF）の脆弱性により 2.1.15 、リモートの攻撃者が管理者の認証をハイジャックする可能性があります。 （CVE-2016-7123）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

我们发现，Mailman Web 管理界面无法抵御跨站请求伪造 (CSRF) 攻击。如果经身份验证的用户在登录到 Mailman 时受到诱骗访问恶意网站，则远程攻击者可以执行管理操作。此问题仅影响 Ubuntu 12.04 LTS。
(CVE-2016-7123)

Nishant Agarwala 发现，Mailman 用户选项页面无法抵御跨站请求伪造 (CSRF) 攻击。如果经身份验证的用户在登录到 Mailman 时受到诱骗访问恶意网站，则远程攻击者可以修改用户选项。(CVE-2016-6893)

请注意，Tenable Network Security 已直接从 Ubuntu 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行了自动清理和排版。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 之前的 GNU Mailman 中，管理 Web 介面的跨網站要求偽造 (CSRF) 弱點 2.1.15 允許遠端攻擊者劫持系統管理員的驗證。 (CVE-2016-7123)

請注意，Nessus 依賴供應商報告的套件存在。

據發現，Mailman 管理 web 介面未防止跨網站要求偽造 (CSRF) 攻擊。如果經過驗證的使用者在登入 Mailman 時遭誘騙而造訪惡意網站，則遠端攻擊者可執行管理動作。這個問題只會影響 Ubuntu 12.04 LTS。
(CVE-2016-7123)

Nishant Agarwala 發現 Mailman 使用者選項頁面未防止跨網站要求偽造 (CSRF) 攻擊。如果經過驗證的使用者在登入 Mailman 時遭誘騙而造訪惡意網站，則遠端攻擊者可修改使用者選項。(CVE-2016-6893)

請注意，Tenable Network Security 已直接從 Ubuntu 安全性公告擷取前述描述區塊。Tenable 已嘗試在不造成其他問題的前提下，盡可能完成自動清理並將其格式化。

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Cross-site request forgery (CSRF) vulnerability in the admin web interface in GNU Mailman before 2.1.15     allows remote attackers to hijack the authentication of administrators. (CVE-2016-7123)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 2.1.15 之前的 GNU Mailman 中，admin web 界面的跨站请求伪造 (CSRF) 漏洞允许远程攻击者劫持管理员的认证。 (CVE-2016-7123)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

The late Tokio Kikuchi reported :

We may have to set lifetime for input forms because of recent activities on cross-site request forgery (CSRF). The form lifetime is successfully deployed in frameworks like web.py or plone etc. Proposed branch lp:~tkikuchi/mailman/form-lifetime implement lifetime in admin, admindb, options and edithtml interfaces. [...]

The web admin interface has been hardened against CSRF attacks by adding a hidden, encrypted token with a time stamp to form submissions and not accepting authentication by cookie if the token is missing, invalid or older than the new mm_cfg.py setting FORM_LIFETIME which defaults to one hour. Posthumous thanks go to Tokio Kikuchi for this implementation [...].

故 Tokio Kikuchi 氏による報告：

最近のクロスサイトリクエスト偽造（CSRF）の活動のために、我々は入力フォームに有効期間を設定するべきかもしれません。フォームの有効期間は、web.py または plone などのようにフレームワークに正常に展開されます。提案されるブランチ lp:~tkikuchi/mailman/form-lifetime で admin、admindb、options および edithtml インターフェイスに有効期限を実装します。[...]

タイムスタンプ付きの非表示の暗号化済みトークンをフォーム提出に追加し、トークンがないか、無効であるか、またはデフォルトで 1 時間になる新しい mm_cfg.py の FORM_LIFETIME 設定よりも古い場合には、クッキーによる認証を受け付けないことで、Web 管理インターフェイスが CSRF 攻撃に対して強化されました。Posthumous では、この実装に関して Tokio Kikuchi 氏に感謝の意を表します [...]。

已故的 Tokio Kikuchi 报告：

因为最近的跨站请求伪造 (CSRF) 活动，我们可能须对输入表单设定生命周期。成功在 Web.py 或 plone 等框架中部署了表单生命周期。建议的分支 lp:~tkikuchi/mailman/form-lifetime 在 admin、admindb、options 和 edithtml 界面中实现了生命周期。[...]

强化了 Web 管理接口对 CSRF 攻击的抵御：添加了一个含有表单提交时间戳的隐藏加密标记，以及在标记丢失、无效或比新的 mm_cfg.py 设置 FORM_LIFETIME（默认为一小时）要旧的情况下不会接受 Cookie 的认证。向已故的 Tokio Kikuchi 对此的贡献表示感谢 [...]。

已故的 Tokio Kikuchi 報告：

因為最近的跨網站要求偽造 (CSRF) 活動，可能須針對輸入表單設定存留期。已成功在 Web.py 或 plone 等架構中部署表單存留期。建議的分支 lp:~tkikuchi/mailman/form-lifetime 在 admin、admindb、options 和 edithtml 介面中實作了存留期。[...]

已增強 Web 管理介面抵禦 CSRF 攻擊的措施，方法為新增了一個隱藏的加密 token (其中含有表單提交的時間戳記)，且如果 token 遺漏、無效或比新的 mm_cfg.py 設定 FORM_LIFETIME (預設為一小時) 還舊，就不會接受 Cookie 的驗證。Posthumous 感謝 Tokio Kikuchi 對此實作的貢獻 [...]。

ID	Name	Product	Family	Published	Updated	Severity
94467	Ubuntu 14.04 LTS / 16.04 LTS : Mailman vulnerabilities (USN-3118-1)	Nessus	Ubuntu Local Security Checks	11/2/2016	8/27/2024	high
94467	Ubuntu 14.04 LTS / 16.04 LTS : Mailman の脆弱性 (USN-3118-1)	Nessus	Ubuntu Local Security Checks	11/2/2016	8/27/2024	high
219865	Linux Distros のパッチ未適用の脆弱性: CVE-2016-7123	Nessus	Misc.	3/4/2025	3/4/2025	high
94467	Ubuntu 14.04 LTS / 16.04 LTS：Mailman 漏洞 (USN-3118-1)	Nessus	Ubuntu Local Security Checks	11/2/2016	8/27/2024	high
219865	Linux Distros 未修補弱點：CVE-2016-7123	Nessus	Misc.	3/4/2025	3/4/2025	high
94467	Ubuntu 14.04 LTS / 16.04 LTS：Mailman 弱點 (USN-3118-1)	Nessus	Ubuntu Local Security Checks	11/2/2016	8/27/2024	high
219865	Linux Distros Unpatched Vulnerability : CVE-2016-7123	Nessus	Misc.	3/4/2025	3/4/2025	high
219865	Linux Distros 未修补的漏洞: CVE-2016-7123	Nessus	Misc.	3/4/2025	3/4/2025	high
93361	FreeBSD : mailman -- CSRF hardening in parts of the web interface (9e50dcc3-740b-11e6-94a2-080027ef73ec)	Nessus	FreeBSD Local Security Checks	9/8/2016	1/4/2021	high
93361	FreeBSD：mailman -- Web インターフェイスの部分の CSRF 強化（9e50dcc3-740b-11e6-94a2-080027ef73ec）	Nessus	FreeBSD Local Security Checks	9/8/2016	1/4/2021	high
93361	FreeBSD：mailman -- Web 接口中某些部分的 CSRF 强化 (9e50dcc3-740b-11e6-94a2-080027ef73ec)	Nessus	FreeBSD Local Security Checks	9/8/2016	1/4/2021	high
93361	FreeBSD：mailman -- Web 介面中某些部分的 CSRF 強化 (9e50dcc3-740b-11e6-94a2-080027ef73ec)	Nessus	FreeBSD Local Security Checks	9/8/2016	1/4/2021	high

Detections

Analytics

Plugins Search

high

high

high

high

high

high

high

high

high

high

high

high