🔴 《严重安全漏洞:CVE-2026-56843》

CVSS 评分: 严重(9.9)  状态: Received  发布时间: 2026-07-08


漏洞简介

该漏洞(CVE-2026-56843)存在于 WebPros Plesk 产品的 XML-RPC API 中,属于授权验证不完善(Incorrect Authorization)问题,对应 CWE-522(不充分的凭证保护机制)。具体而言,在 Plesk 18.0.78.4 之前的版本中,低权限的已认证客户(low-privileged authenticated customer)能够查询其并不拥有的域名。漏洞成因包括两方面:一是所有权检查(ownership enforcement)仅针对某些特定的查询过滤器(lookup filters)生效,存在覆盖不全;二是对于遗留协议版本(legacy protocol versions),系统绕过了模式验证(schema validation),导致攻击者可以构造恶意请求。

由于上述缺陷,攻击者能够跨租户(cross-tenant)获取其他租户以明文(cleartext)形式存储的 FTP 凭证。这些凭证一旦泄露,可被利用来以其他租户的系统用户身份执行代码(execute code as another tenant's system user),从而实现横向移动和权限提升。

影响范围

  • 受影响产品:WebPros Plesk
  • 受影响版本:18.0.78.4 之前的所有版本
  • 修复版本:18.0.78.4 及更高版本

风险分析

  • 攻击复杂度:低(Low),攻击者仅需拥有一个低权限的合法账户,无需特殊网络条件或用户交互。
  • 攻击路径:网络远程(AV:N),攻击者可通过网络直接发送特制 XML-RPC 请求。
  • 所需权限:低权限(PR:L),即攻击者需要先获得一个有效的 Plesk 客户账户(如普通订阅用户)。
  • 影响范围:已变更(Scope: Changed),漏洞可导致跨租户数据泄露,影响其他独立租户的安全边界。
  • 机密性影响:高(High),其他租户的 FTP 明文密码被泄露。
  • 完整性影响:高(High),攻击者可利用泄露的 FTP 凭证修改或替换其他租户的文件。
  • 可用性影响:高(High),攻击者可能通过恶意代码执行导致服务中断或数据破坏。
  • 综合评分:CVSS 3.1 基础分数为 9.9(严重级别),表明该漏洞极易被利用且后果极其严重。

可能的攻击后果

  1. 凭证泄露:攻击者获取其他租户的 FTP 明文密码,进而访问其网站文件、数据库配置等敏感数据。
  2. 代码执行:利用 FTP 凭证上传恶意脚本(如 Web Shell),以目标租户的系统用户身份执行任意命令,实现完全控制。
  3. 横向移动:从一个低权限租户账户出发,逐步渗透至其他租户甚至宿主系统,扩大攻击面。
  4. 数据篡改与勒索:修改受害者网站内容、植入后门或加密文件进行勒索。

🔍 技术细节

字段
CVE ID CVE-2026-56843
CVSS 评分 9.9 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-522
发布时间 2026-07-08
最后更新 2026-07-08
状态 Received
数据来源 support@hackerone.com

🔗 参考链接