CVE-2025-54336
CriticalSummary
W Plesk Obsidian 18.0.70 funkcja _isAdminPasswordValid używa porównania ==. W związku z tym, jeśli poprawne hasło to '0e' zakończone dowolnym ciągiem cyfr, atakujący może zalogować się przy użyciu innego ciągu, który ocenia się jako 0.0 (np. ciąg 0e0). Problem ten występuje w pliku admin/plib/LoginManager.php.
Risk Assessment
Podatność ta pozwala atakującym na uzyskanie dostępu do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemie. Organizacje mogą być narażone na nieautoryzowane działania i utratę danych.
Recommendation
Zaleca się aktualizację Plesk Obsidian do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie prób logowania.
Original NVD description (English source)
In Plesk Obsidian 18.0.70, _isAdminPasswordValid uses an == comparison. Thus, if the correct password is "0e" followed by any digit string, then an attacker can login with any other string that evaluates to 0.0 (such as the 0e0 string). This occurs in admin/plib/LoginManager.php.

