CVE-2025-54336

Nome do Software Vulnerável e Versões Afetadas: Plesk Obsidian versão 18.0.70

Descrição: A função isAdminPasswordValid no Plesk Obsidian utiliza uma comparação fraca (==) que permite a um atacante burlar a senha de administrador se a senha correta estiver no formato "0e" seguido por qualquer string de dígitos. Um atacante pode então fazer login usando qualquer string que avalie para 0.0, como "0e0". Este problema está localizado no arquivo admin/plib/LoginManager.php. Estima-se que aproximadamente 11,6 milhões de serviços sejam afetados em todo o mundo.

Recomendações: Plesk Obsidian versão 18.0.70: Atualize para uma versão mais recente que corrija este problema de bypass de autenticação. Como solução temporária, considere restringir o acesso ao arquivo admin/plib/LoginManager.php até que uma correção esteja disponível.