江蘇
關鍵詞
漏洞
Plesk for Linux 中發現了一個嚴重的安全漏洞,可能允許用戶在受影響的服務器上獲取 root 訪問權限。
該漏洞編號為 CVE-2025-66430,存在于 Plesk 的”密碼保護目錄”功能中,允許攻擊者將任意數據注入 Apache 配置文件。
該漏洞源于”密碼保護目錄”功能對用戶輸入的處理不當。通過利用此漏洞,攻擊者可以將惡意數據注入 Apache 配置,隨后以 root 權限執行命令。
這代表一個關鍵的本地權限提升漏洞,對依賴 Plesk 進行服務器管理的組織構成了重大風險。
CVE ID
漏洞類型
受影響組件
CVE-2025-66430
本地權限提升
密碼保護目錄
任何有權訪問”密碼保護目錄”功能的 Plesk 用戶都可以利用此漏洞獲取未經授權的 root 級別訪問權限。
這使得攻擊者能夠以最高的系統權限執行任意命令,可能導致服務器完全被攻陷、數據盜竊、安裝惡意軟件或在網絡內橫向移動。
如果此漏洞未修補,運行受影響 Plesk 版本的組織將面臨重大風險。從標準用戶賬戶提升權限至 root 訪問的能力,是服務器管理環境中最關鍵的安全威脅之一。
Plesk 已發布修復此漏洞的安全更新。
受影響的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安裝也受到影響。
針對版本 18.0.73.5 和 18.0.74.2 的微更新已經發布,管理員應立即安裝。為修復此漏洞,組織應立即更新其 Plesk 安裝。
官方 Plesk 支持文檔提供了在不同版本發布中安裝更新的全面指南。
系統管理員應優先立即將所有受影響的 Plesk 安裝更新至已修復的版本。
組織應審查”密碼保護目錄”功能的訪問控制,并確保只有授權用戶才能訪問。
此外,建議監控日志中是否存在可疑的配置更改或命令執行嘗試。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
