Katalog CVE

CVE-2025-54336

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Plesk Obsidian 18.0.70 funkcja _isAdminPasswordValid używa porównania ==. W związku z tym, jeśli poprawne hasło to '0e' zakończone dowolnym ciągiem cyfr, atakujący może zalogować się przy użyciu innego ciągu, który ocenia się jako 0.0 (np. ciąg 0e0). Problem ten występuje w pliku admin/plib/LoginManager.php.

Ocena ryzyka

Podatność ta pozwala atakującym na uzyskanie dostępu do konta administratora, co może prowadzić do poważnych naruszeń bezpieczeństwa w systemie. Organizacje mogą być narażone na nieautoryzowane działania i utratę danych.

Rekomendacja

Zaleca się aktualizację Plesk Obsidian do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe mechanizmy zabezpieczeń, takie jak ograniczenie prób logowania.

Oryginalny opis (angielski, źródło NVD)

In Plesk Obsidian 18.0.70, _isAdminPasswordValid uses an == comparison. Thus, if the correct password is "0e" followed by any digit string, then an attacker can login with any other string that evaluates to 0.0 (such as the 0e0 string). This occurs in admin/plib/LoginManager.php.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS