CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-54336

Critical
Published: Translated: NVD NIST

Summary

W Plesk Obsidian 18.0.70 funkcja _isAdminPasswordValid używa porównania ==. W związku z tym, jeśli poprawne hasło to '0e' zakończone dowolnym ciągiem cyfr, atakujący może zalogować się przy użyciu innego ciągu, który ocenia się jako 0.0 (np. ciąg 0e0). Problem ten występuje w pliku admin/plib/LoginManager.php.

Risk Assessment

Podatność ta pozwala atakującym na uzyskanie dostępu do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemie. Organizacje mogą być narażone na nieautoryzowane działania i utratę danych.

Recommendation

Zaleca się aktualizację Plesk Obsidian do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie prób logowania.

Original NVD description (English source)

In Plesk Obsidian 18.0.70, _isAdminPasswordValid uses an == comparison. Thus, if the correct password is "0e" followed by any digit string, then an attacker can login with any other string that evaluates to 0.0 (such as the 0e0 string). This occurs in admin/plib/LoginManager.php.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS