🔴 严重 | CVE-2026-56843 — Incorrect authorization in the XML-RPC API of WebP...
🔴 《严重安全漏洞:CVE-2026-56843》
CVSS 评分: 严重(9.9) 状态: Received 发布时间: 2026-07-08
漏洞简介
该漏洞(CVE-2026-56843)存在于 WebPros Plesk 产品的 XML-RPC API 中,属于授权验证不完善(Incorrect Authorization)问题,对应 CWE-522(不充分的凭证保护机制)。具体而言,在 Plesk 18.0.78.4 之前的版本中,低权限的已认证客户(low-privileged authenticated customer)能够查询其并不拥有的域名。漏洞成因包括两方面:一是所有权检查(ownership enforcement)仅针对某些特定的查询过滤器(lookup filters)生效,存在覆盖不全;二是对于遗留协议版本(legacy protocol versions),系统绕过了模式验证(schema validation),导致攻击者可以构造恶意请求。
由于上述缺陷,攻击者能够跨租户(cross-tenant)获取其他租户以明文(cleartext)形式存储的 FTP 凭证。这些凭证一旦泄露,可被利用来以其他租户的系统用户身份执行代码(execute code as another tenant's system user),从而实现横向移动和权限提升。
影响范围
- 受影响产品:WebPros Plesk
- 受影响版本:18.0.78.4 之前的所有版本
- 修复版本:18.0.78.4 及更高版本
风险分析
- 攻击复杂度:低(Low),攻击者仅需拥有一个低权限的合法账户,无需特殊网络条件或用户交互。
- 攻击路径:网络远程(AV:N),攻击者可通过网络直接发送特制 XML-RPC 请求。
- 所需权限:低权限(PR:L),即攻击者需要先获得一个有效的 Plesk 客户账户(如普通订阅用户)。
- 影响范围:已变更(Scope: Changed),漏洞可导致跨租户数据泄露,影响其他独立租户的安全边界。
- 机密性影响:高(High),其他租户的 FTP 明文密码被泄露。
- 完整性影响:高(High),攻击者可利用泄露的 FTP 凭证修改或替换其他租户的文件。
- 可用性影响:高(High),攻击者可能通过恶意代码执行导致服务中断或数据破坏。
- 综合评分:CVSS 3.1 基础分数为 9.9(严重级别),表明该漏洞极易被利用且后果极其严重。
可能的攻击后果:
- 凭证泄露:攻击者获取其他租户的 FTP 明文密码,进而访问其网站文件、数据库配置等敏感数据。
- 代码执行:利用 FTP 凭证上传恶意脚本(如 Web Shell),以目标租户的系统用户身份执行任意命令,实现完全控制。
- 横向移动:从一个低权限租户账户出发,逐步渗透至其他租户甚至宿主系统,扩大攻击面。
- 数据篡改与勒索:修改受害者网站内容、植入后门或加密文件进行勒索。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-56843 |
| CVSS 评分 | 9.9 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE 分类 | CWE-522 |
| 发布时间 | 2026-07-08 |
| 最后更新 | 2026-07-08 |
| 状态 | Received |
| 数据来源 | support@hackerone.com |
🔗 参考链接
💬 评论