🔴 《严重安全漏洞:CVE-2026-48614》

CVSS 评分: 严重(9.9)  状态: Received  发布时间: 2026-07-06


漏洞简介

CVE-2026-48614 是一个存在于 Plesk XML API 中的不当授权漏洞(improper authorization vulnerability),对应 CWE-94(代码生成控制不当,Improper Control of Generation of Code)。该漏洞允许已通过身份验证的用户(authenticated user)向 XML API 注入任意配置指令(arbitrary configuration directives),进而实现以 root 权限写入任意文件(arbitrary file write as root),并最终在底层服务器上完成完全权限提升(full privilege escalation)。

影响范围

  • 受影响软件:Plesk(具体版本信息请参考官方安全公告,当前描述中未明确列出受影响的版本号,但建议所有使用 Plesk XML API 的部署均需关注)
  • 攻击前提:攻击者需要拥有有效的 Plesk 用户认证凭据(authenticated user),即需要具备最低级别的登录权限。
  • 攻击向量:通过网络远程利用(AV:N),攻击复杂度低(AC:L),无需用户交互(UI:N),且影响范围可波及至其他组件(S:C)。

风险分析

  • 漏洞本质:Plesk XML API 在处理用户提交的配置指令时,未能正确验证用户权限,导致低权限用户能够通过构造特制的 XML 请求,绕过授权检查,注入任意配置内容。
  • 攻击后果
    • 任意文件写入(root 权限):攻击者可以利用该漏洞以系统最高权限(root)在服务器上写入任意文件,包括但不限于修改系统关键配置文件、植入恶意脚本或后门程序。
    • 完全权限提升:由于能够以 root 身份写入文件,攻击者可以进一步覆盖系统服务配置、替换可执行文件或添加特权账户,从而获得对服务器的完全控制权。
    • 机密性、完整性、可用性全面受损:CVSS 3.1 评分为 9.9(Critical),表明该漏洞对机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)均造成高影响(H/H/H)。
  • 潜在利用场景:攻击者可能通过已泄露的低权限账户(如网站管理员、订阅用户)发起攻击,横向或纵向提升权限,最终接管整个服务器,进而影响同一服务器上托管的所有网站、数据库及用户数据。

建议:立即查阅 Plesk 官方安全公告(https://support.plesk.com/hc/en-us/articles/41171817973143-Vulnerability-in-Plesk-XML-API)获取补丁信息,并尽快升级至修复版本。同时,严格审查所有 API 用户的权限分配,启用多因素认证(MFA)以降低凭据泄露风险。


🔍 技术细节

字段
CVE ID CVE-2026-48614
CVSS 评分 9.9 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-94
发布时间 2026-07-06
最后更新 2026-07-06
状态 Received
数据来源 support@hackerone.com

🔗 参考链接