Origine : bjCSIRT
Numéro : 2025/ALERTE/060
Date de l’alerte : 22/08/2025
APERÇU :
Plesk Obsidian est affecté par une vulnérabilité qui permettrait à un acteur malveillant de contourner l’authentification et d’obtenir un accès administrateur complet au serveur.
DESCRIPTION :
Plesk Obsidian est une plateforme de gestion d’hébergement web qui permet aux administrateurs et utilisateurs de gérer des sites web, des bases de données, des comptes de messagerie et divers services serveur à travers une interface graphique centralisée.
Celle–ci est affectée par la vulnérabilité libellée CVE-2025-54336 qui découle d’une validation insuffisante du mécanisme d’authentification. La fonction “_isAdminPasswordValid” dans Plesk Obsidian effectue une mauvaise comparaison permettant à un acteur malveillant de contourner l’authentification si le mot de passe de l’admin commence par “0e” suivi de chiffres. L’exploitation de cette vulnérabilité par un acteur malveillant lui permettrait d’obtenir un accès administrateur complet, compromettant ainsi le serveur et l’ensemble des services hébergés.
Cette vulnérabilité est classée Critique avec un score de sévérité de 9.8 selon le CVSS 3.1.
IMPACT :
- Exécution de code ;
- Atteinte à l’intégrité des données ;
- Compromission de l’environnement.
SYSTÈMES AFFECTÉS :
La version 18.0.70 de Plesk Obsidian.
MESURES À PRENDRE :
Mettre à jour Plesk Obsidian 18.0.70 vers la version 18.0.71 Update 2 ou 18.0.70 Update 4.
RÉFÉRENCES :
