PLESK ermöglicht Ausspähen des Servers
Über eine Schwachstelle im web-basierten Konfigurationstool für Webserver und Webhosting ist es möglich, Verzeichnisse und Daten einzusehen.
Über eine Schwachstelle im web-basierten Konfigurationstool für Webserver und Webhosting PLESK ist es möglich, Verzeichnisse und Daten einzusehen. Ursache des Fehlers ist die unzureichende Filterung des Parameters file im Modul filemanager.php, sodass Directory Traversing möglich ist:
https://server:8443/filemanager/filemanager.php?cmd=chdir&file=../
Die Lücke wurde zwar in PLESK 7.6 für Windows gefunden. Der Hersteller bestätigte die Lücke gegenüber heise Security auch für die Linux-Version 8.0. Ein Hotfix dafür soll am kommenden Montag, dem 2. Oktober, zum Download bereitgestellt werden. Einen Fix für Windows soll es nicht geben, da das Problem dort in der in Kürze erscheinenden Version 8.1. für Windows behoben sein soll.
Siehe dazu auch: (dab)
- [PLESK 7.5 Reload] & [PLESK 7.6 for MS Windows] path passing and disclosure vulnerability, Fehlerbericht auf Bugtraq
