领先的虚拟主机与数据中心自动化平台Plesk中被发现存在一处高危安全漏洞,攻击者一旦利用该漏洞,有可能夺取服务器的完全控制权。该漏洞编号为CVE-2025-66430,CVSS 评分为9.1 分,属于高危威胁,需立即采取应对措施。
此漏洞影响Linux 版本的 Plesk,可被用于实现本地权限提升(LPE)—— 这是一种高危攻击场景,低权限用户可借此将自身权限提升至最高级别。
漏洞根源存在于平台的 **“密码保护目录” 功能模块中。尽管该功能的设计初衷是保护敏感文件夹,但实现逻辑上的缺陷,导致用户可直接向服务器的Apache 配置文件中注入任意数据 **。
安全公告指出:“我们发现 Plesk 的密码保护目录功能存在安全漏洞,攻击者可通过该漏洞向 Apache 配置中注入任意数据”。这一设计疏漏为漏洞利用提供了可乘之机。“利用该漏洞,Plesk 用户可获取 root 权限执行任意命令”。
该漏洞对共享主机环境的危害极为严重。“任何有权限访问密码保护目录功能的 Plesk 用户,都可获取服务器的 root 权限”,进而彻底攻陷整个系统,以及部署在该服务器上的所有其他网站。
Plesk 官方已发布紧急微型更新包以修复该漏洞。官方强烈建议管理员立即对系统进行更新。
- Plesk 18.0.73 与 18.0.74 版本:官方已为这两个版本推送微型更新包(更新后版本号分别为 18.0.73.5 与 18.0.74.2)。
- Plesk 18.0.70 – 18.0.72 版本:管理员需按照安全公告中提供的特定升级路径执行更新操作。
- Plesk Onyx 版本:官方也为较旧的 Onyx 版本提供了对应的更新包。
发表评论
您还未登录,请先登录。
登录