Unrated severityNVD Advisory· Published May 31, 2011· Updated Apr 29, 2026
CVE-2011-1937
CVE-2011-1937
Description
Cross-site scripting (XSS) vulnerability in Webmin 1.540 and earlier allows local users to inject arbitrary web script or HTML via a chfn command that changes the real (aka Full Name) field, related to useradmin/index.cgi and useradmin/user-lib.pl.
Affected products
79cpe:2.3:a:webmin:webmin:*:*:*:*:*:*:*:*+ 78 more
- cpe:2.3:a:webmin:webmin:*:*:*:*:*:*:*:*range: <=1.540
- cpe:2.3:a:webmin:webmin:0.75:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.76:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.77:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.78:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.79:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.80:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.81:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.82:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.83:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.84:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.85:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.86:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.87:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.88:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.91:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.92:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.93:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.94:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.950:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.960:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.970:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.980:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:0.990:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.000:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.010:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.020:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.030:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.040:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.050:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.060:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.070:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.080:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.090:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.100:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.110:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.121:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.130:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.140:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.150:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.160:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.170:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.180:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.190:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.200:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.210:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.220:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.230:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.240:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.250:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.260:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.270:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.280:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.290:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.300:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.310:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.320:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.330:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.340:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.350:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.360:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.370:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.380:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.390:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.400:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.410:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.420:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.430:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.440:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.441:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.450:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.460:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.470:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.480:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.490:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.500:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.510:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.520:*:*:*:*:*:*:*
- cpe:2.3:a:webmin:webmin:1.530:*:*:*:*:*:*:*
Patches
146e3d3ad195dFix possible XSS attack due to user's real name not being escaped
1 file changed · +6 −6
useradmin/user-lib.pl+6 −6 modified@@ -2316,11 +2316,11 @@ sub users_table push(@cols, "") if ($anyedit && $u->{'noedit'}); push(@cols, &user_link($u)); push(@cols, $u->{'uid'}); - push(@cols, $gidgrp{$u->{'gid'}}||$u->{'gid'}); - push(@cols, $u->{'real'}); - push(@cols, $u->{'home'}); - push(@cols, $u->{'shell'}); - push(@cols, $llogin{$u->{'user'}}) if ($lshow); + push(@cols, $gidgrp{$u->{'gid'}} || $u->{'gid'}); + push(@cols, &html_escape($u->{'real'})); + push(@cols, &html_escape($u->{'home'})); + push(@cols, &html_escape($u->{'shell'})); + push(@cols, &html_escape($llogin{$u->{'user'}})) if ($lshow); if ($u->{'noedit'}) { print &ui_columns_row(\@cols, \@tds); } @@ -2387,7 +2387,7 @@ sub groups_table push(@cols, &group_link($g)); push(@cols, $g->{'gid'}); if ($anydesc) { - push(@cols, $g->{'desc'}); + push(@cols, &html_escape($g->{'desc'})); } push(@cols, &html_escape($members)); if ($g->{'noedit'} || !$access{'gdelete'}) {
Vulnerability mechanics
Generated by null/stub on May 9, 2026. Inputs: CWE entries + fix-commit diffs from this CVE's patches. Citations validated against bundle.
References
10- github.com/webmin/webmin/commit/46e3d3ad195dcdc1af1795c96b6e0dc778fb6881nvdPatch
- javierb.com.ar/2011/04/24/xss-webmin-1-540/nvdExploit
- openwall.com/lists/oss-security/2011/05/24/7nvdExploit
- securitytracker.com/idnvdExploit
- www.securityfocus.com/archive/1/517658nvdExploit
- www.youtube.com/watchnvdExploit
- openwall.com/lists/oss-security/2011/05/22/1nvd
- securityreason.com/securityalert/8264nvd
- www.mandriva.com/security/advisoriesnvd
- www.securityfocus.com/bid/47558nvd
News mentions
0No linked articles in our index yet.