🔴 严重 | CVE-2026-48614 — An improper authorization vulnerability in the Ple...
🔴 《严重安全漏洞:CVE-2026-48614》
CVSS 评分: 严重(9.9) 状态: Received 发布时间: 2026-07-06
漏洞简介
CVE-2026-48614 是一个存在于 Plesk XML API 中的不当授权漏洞(improper authorization vulnerability),对应 CWE-94(代码生成控制不当,Improper Control of Generation of Code)。该漏洞允许已通过身份验证的用户(authenticated user)向 XML API 注入任意配置指令(arbitrary configuration directives),进而实现以 root 权限写入任意文件(arbitrary file write as root),并最终在底层服务器上完成完全权限提升(full privilege escalation)。
影响范围
- 受影响软件:Plesk(具体版本信息请参考官方安全公告,当前描述中未明确列出受影响的版本号,但建议所有使用 Plesk XML API 的部署均需关注)
- 攻击前提:攻击者需要拥有有效的 Plesk 用户认证凭据(authenticated user),即需要具备最低级别的登录权限。
- 攻击向量:通过网络远程利用(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),且影响范围可波及至其他组件(S:C)。
风险分析
- 漏洞本质:Plesk XML API 在处理用户提交的配置指令时,未能正确验证用户权限,导致低权限用户能够通过构造特制的 XML 请求,绕过授权检查,注入任意配置内容。
- 攻击后果:
- 任意文件写入(root 权限):攻击者可以利用该漏洞以系统最高权限(root)在服务器上写入任意文件,包括但不限于修改系统关键配置文件、植入恶意脚本或后门程序。
- 完全权限提升:由于能够以 root 身份写入文件,攻击者可以进一步覆盖系统服务配置、替换可执行文件或添加特权账户,从而获得对服务器的完全控制权。
- 机密性、完整性、可用性全面受损:CVSS 3.1 评分为 9.9(Critical),表明该漏洞对机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)均造成高影响(H/H/H)。
- 潜在利用场景:攻击者可能通过已泄露的低权限账户(如网站管理员、订阅用户)发起攻击,横向或纵向提升权限,最终接管整个服务器,进而影响同一服务器上托管的所有网站、数据库及用户数据。
建议:立即查阅 Plesk 官方安全公告(https://support.plesk.com/hc/en-us/articles/41171817973143-Vulnerability-in-Plesk-XML-API)获取补丁信息,并尽快升级至修复版本。同时,严格审查所有 API 用户的权限分配,启用多因素认证(MFA)以降低凭据泄露风险。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-48614 |
| CVSS 评分 | 9.9 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-94 |
| 发布时间 | 2026-07-06 |
| 最后更新 | 2026-07-06 |
| 状态 | Received |
| 数据来源 | support@hackerone.com |
🔗 参考链接
💬 评论