Plesk Obsidian یک چارچوب مدیریت میزبانی وب است که به مدیران سرورها امکان مدیریت سایتها، دامنهها، ایمیلها و پایگاههای داده را از طریق رابط کاربری گرافیکی فراهم میکند. امنیت حسابهای مدیریتی در این پلتفرم از اهمیت ویژهای برخوردار است، زیرا دسترسی غیرمجاز به حساب مدیر میتواند کنترل کامل سرور و سایتها را در اختیار مهاجم قرار دهد.
اخیراً یک ضعف بحرانی با شناسهی CVE-2025-54336 و شدت 9.8 در فرآیند احراز هویت نسخهای خاص از این ابزار شناسایی شده است که به مهاجم اجازه میدهد بدون دانستن رمز عبور واقعی وارد حساب مدیریتی شود.
جزئیات آسیبپذیری
در نسخهی 18.0.70 از این ابزار، تابع _isAdminPasswordValid برای بررسی صحت رمز عبور از مقایسهی ساده == استفاده میکند. این شیوه مقایسه باعث ایجاد یک آسیبپذیری بحرانی میشود؛ بهطوریکه اگر رمز عبور اصلی به شکل "0e" به همراه هر رشته عددی باشد، مهاجم میتواند با وارد کردن رشتهای دیگر که به 0.0 ارزیابی میشود (مانند "0e0")، به سیستم وارد شود.
این آسیبپذیری در فایل admin/plib/LoginManager.php رخ میدهد و امکان دور زدن احراز هویت بدون نیاز به دانستن رمز عبور واقعی را فراهم میکند.
بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H نشان میدهد که این نقص از راه دور و بهسادگی، بدون نیاز به دسترسی قبلی یا تعامل با کاربر قابل بهرهبرداری است. مهاجم میتواند بهراحتی بدون احراز هویت به سیستم دسترسی پیدا کند. این آسیبپذیری بر محرمانگی، صحت و در دسترس بودن سیستم تأثیر بالایی دارد.
نسخههای تحت تأثیر
-
نسخهی 18.0.70 Plesk Obsidian تحت تأثیر این آسیبپذیری قرار دارد.
توصیههای امنیتی
- بهروزرسانی Plesk Obsidian به آخرین نسخهی پایدار منتشرشده.
- بازبینی و تقویت سیاستهای رمز عبور مدیریت سرور.
منابع خبر:
[1]https://www.cvedetails.com/cve/CVE-2025-54336
[2]https://www.plesk.com/blog/plesk-news-announcements/introducing-plesk-obsidian-18-0-70-anniversary-…
[3]https://nvd.nist.gov/vuln/detail/CVE-2025-54336
[4]https://www.cve.org/CVERecord?id=CVE-2025-54336
[5]https://euvd.enisa.europa.eu/vulnerability/CVE-2025-54336
[6]https://support.plesk.com/hc/en-us/articles/33785727869847-Vulnerability-CVE-2025-54336
- 17