关键词
漏洞
Plesk for Linux 中发现了一个严重的安全漏洞,可能允许用户在受影响的服务器上获取 root 访问权限。
该漏洞编号为 CVE-2025-66430,存在于 Plesk 的”密码保护目录”功能中,允许攻击者将任意数据注入 Apache 配置文件。
该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞,攻击者可以将恶意数据注入 Apache 配置,随后以 root 权限执行命令。
这代表一个关键的本地权限提升漏洞,对依赖 Plesk 进行服务器管理的组织构成了重大风险。
CVE ID
漏洞类型
受影响组件
CVE-2025-66430
本地权限提升
密码保护目录
任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。
这使得攻击者能够以最高的系统权限执行任意命令,可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。
如果此漏洞未修补,运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力,是服务器管理环境中最关键的安全威胁之一。
Plesk 已发布修复此漏洞的安全更新。
受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。
针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布,管理员应立即安装。为修复此漏洞,组织应立即更新其 Plesk 安装。
官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。
系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。
组织应审查”密码保护目录”功能的访问控制,并确保只有授权用户才能访问。
此外,建议监控日志中是否存在可疑的配置更改或命令执行尝试。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴