CVE-2025-54336
Mis à jour :
Bypass d’authentification sur Plesk Obsidian
Une faille critique, identifiée sous la référence CVE-2025-54336, a été découverte dans Plesk Obsidian version 18.0.70. Elle permet à un attaquant de contourner le mécanisme d’authentification et d’accéder aux privilèges d’administrateur sans connaître le mot de passe réel.
Points Clés :
- Nature de la vulnérabilité : Contournement d’authentification.
- Logiciel affecté : Plesk Obsidian 18.0.70.
- Fonctionnalité vulnérable : La fonction
_isAdminPasswordValiddans le fichieradmin/plib/LoginManager.php. - Cause : L’utilisation d’une comparaison faible (
==) dans le traitement du mot de passe.
Vulnérabilité :
- CVE : CVE-2025-54336
- Mécanisme : L’utilisation de la comparaison
==permet à des entrées spécifiques d’être considérées comme égales à zéro, même si elles ne sont pas numériquement équivalentes. Un attaquant peut exploiter cela en fournissant une chaîne commençant par “0e” suivie uniquement de chiffres (par exemple, “0e0”). Si le mot de passe administrateur commence également par “0e” suivi de chiffres, l’authentification peut être contournée.
Conséquences :
- Un attaquant peut se connecter en tant qu’administrateur.
- Risque de compromission complète du serveur.
Recommandations :
- Bien que l’article ne fournisse pas directement de patch ou de mise à jour spécifique pour cette CVE, la correction impliquerait de remplacer la comparaison faible par une comparaison sécurisée (par exemple, en s’assurant que le mot de passe est bien une valeur numérique si nécessaire, ou en utilisant des fonctions de hachage sécurisées). Il est crucial de vérifier et d’appliquer les mises à jour de sécurité Plesk dès qu’elles sont disponibles.