PT-2026-56285 · Webpros · Plesk
Publicado
2026-07-08
·
Atualizado
2026-07-08
·
CVE-2026-56843
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
WebPros Plesk versões anteriores a 18.0.78.4
Description
Uma autorização incorreta na API XML-RPC permite que um cliente autenticado com baixos privilégios pesquise domínios que não lhe pertencem. Isso ocorre porque a propriedade é aplicada apenas a certos filtros de pesquisa e a validação do esquema é ignorada para versões legadas do protocolo. Essa falha resulta na divulgação entre locatários de credenciais FTP de outros locatários armazenadas em texto simples, que podem ser aproveitadas para executar código como usuário do sistema de outro locatário.
Recommendations
Atualize o WebPros Plesk para a versão 18.0.78.4 ou posterior.
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Plesk