Een ernstige beveiligingsfout is ontdekt in Plesk Obsidian 18.0.70 die een gewiekste aanvaller in staat stelt toegang te verkrijgen tot het systeem zonder de administratieve wachtwoorden te kennen. Deze kwetsbaarheid maakt gebruik van een onjuiste vergelijking in de controle van het wachtwoord, waarbij een string zoals ‘0e0’ toegang kan geven onder de verkeerde aannames.
Met een CVSS-score van 9.8 wordt deze kwetsbaarheid als kritiek beoordeeld, vooral omdat er geen speciale rechten of gebruikersinteractie vereist zijn om de aanval uit te voeren.
Overzicht
De kwetsbaarheid bevindt zich in het bestand admin/plib/LoginManager.php waar de functie _isAdminPasswordValid een zwakke vergelijkingsmethode gebruikt. Dit kan ertoe leiden dat een aanvaller op afstand ongeautoriseerde toegang krijgt tot de beheerder omgeving van Plesk.
Aanbevelingen
- Controleer of uw versie van Plesk Obsidian 18.0.70 gepatcht is. Zo niet, update dan zo snel mogelijk naar de nieuwste versie die deze fout repareert.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54336?
Dit is een beveiligingslek in de wachtwoordvalidatie van Plesk Obsidian 18.0.70, veroorzaakt door een onjuiste comparison.
Welke systemen zijn kwetsbaar voor CVE-2025-54336?
Alle systemen die Plesk Obsidian versie 18.0.70 draaien zonder de laatste patches.
Bestaat er al een patch of beveiligingsupdate?
Ja, gebruikers wordt geadviseerd hun systeem te updaten naar de nieuwste gepatchte versie.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan ongeautoriseerde toegang krijgen en mogelijk volledige controle over de server verkrijgen.
