Fehler in Admin-Software Plesk wird aktiv ausgenutzt
Die Lücke lässt sich ohne Anmeldung übers Netz ausnutzen; der Hersteller stellt jedoch bereits Updates bereit.
Eine kritische Sicherheitslücke in der Administrations-Software Plesk wird derzeit aktiv genutzt, um betroffene Server zu kompromittieren. Plesk kommt vor allem bei Hosting-Providern zum Einsatz und bietet ein Web-Frontend für die Administration der angemieteten Server.
Bei der Lücke handelt es sich offenbar um ein SQL-Injection-Problem, über das der Angreifer vollen administrativen Zugriff auf das System erlangen kann. Betroffen sind sowohl Linux- als auch Windows-Versionen des Parallels Plesk Panel 7.6.1 - 10.3.1. Der Hersteller Parallels hat den Fehler in den aktuellen Versionen jedoch bereits behoben; für einige ältere stellt er sogar Micro-Updates bereit, die lediglich diese Sicherheitslücke stopfen sollen. Admins sollten dringend den Versionsstand ihrer Plesk-Installation überprüfen.
Siehe dazu auch:
- [FIX] Remote vulnerability in Plesk Pane Sicherheitshinweis von Parallels
(ju)
