Специалисты по кибербезопасности предупреждают о критической уязвимости в популярной панели управления веб-хостингом Plesk Obsidian. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером 2025-15990 и получившая идентификатор CVE-2025-66430, связана с недостатками разграничения доступа. Следовательно, удаленный злоумышленник может использовать эту ошибку для выполнения произвольного кода и получения несанкционированного доступа к серверу с максимальными привилегиями root.
Детали уязвимости
Уязвимость затрагивает Plesk Obsidian версий ранее 18.0.73.5 и 18.0.74.2. Производитель, Plesk International GmbH, уже подтвердил проблему и выпустил исправления. Ошибка классифицируется как неправильный контроль доступа. Более того, ей присвоен критический уровень опасности. Базовая оценка по методологии CVSS 3.1 достигает 9.8 баллов из 10. Это указывает на высокий потенциал для масштабных атак без необходимости предварительной аутентификации.
Основной вектор атаки связан с нарушением авторизации в модуле "Защищенные паролем директории". Фактически, обычный авторизованный пользователь панели может потенциально обойти установленные ограничения. В результате он способен выполнить команды на уровне операционной системы с правами суперпользователя. Подобный доступ открывает путь к полному контролю над сервером, включая установку вредоносного ПО, кражу данных или запуск атак на другие системы.
Эксперты подчеркивают, что, хотя наличие работающего эксплойта в открытом доступе пока не подтверждено, критичность уязвимости делает её первоочередной целью для киберпреступников. Особенно это актуально для групп, специализирующихся на атаках на хостинг-провайдеров. Поэтому администраторам необходимо действовать быстро. Производитель рекомендует немедленно обновить Plesk Obsidian до версий 18.0.73.5 или 18.0.74.2, в которых уязвимость устранена.
Однако в текущих геополитических условиях процесс обновления требует дополнительной осторожности. Официальное описание уязвимости в BDU содержит предупреждение для российских организаций. В частности, им рекомендуется устанавливать обновления только после тщательной оценки всех сопутствующих рисков из-за введенных санкций. Тем не менее, оставлять систему уязвимой категорически нельзя.
Если немедленное обновление по каким-либо причинам невозможно, следует незамедлительно применить комплекс компенсирующих мер. Например, необходимо ограничить доступ к панели управления Plesk по схеме "белого списка" IP-адресов. Кроме того, эффективным решением может стать развертывание межсетевого экрана уровня веб-приложений (Web Application Firewall, WAF). Он способен фильтровать подозрительные запросы, пытающиеся эксплуатировать данную уязвимость.
Параллельно стоит задействовать системы обнаружения и предотвращения вторжений (IDS/IPS). Они помогут выявить и заблокировать попытки атаки. Также для организации любого удаленного администрирования настоятельно рекомендуется использовать виртуальные частные сети (VPN). Это добавляет дополнительный уровень аутентификации и шифрует трафик.
Данный инцидент в очередной раз демонстрирует важность своевременного применения патчей для критически важного ПО. Панели управления хостингом, такие как Plesk, являются крайне привлекательной мишенью для APT (Advanced Persistent Threat, продвинутая постоянная угроза) групп и авторов программ-вымогателей (ransomware). Взлом всего одного сервера часто дает злоумышленникам точку опоры для атаки на множество клиентских сайтов. Таким образом, промедление с обновлением ставит под угрозу не только инфраструктуру провайдера, но и безопасность его пользователей.
Подводя итог, администраторам серверов под управлением Plesk Obsidian следует расценивать эту уязвимость как первоочередную задачу для устранения. Производитель предоставил исправления, и их установка является самым надежным способом защиты. В противном случае необходимо строго следовать рекомендациям по компенсирующим мерам, чтобы минимизировать окно для потенциальной атаки до момента, когда обновление станет возможным.
Ссылки
- https://bdu.fstec.ru/vul/2025-15990
- https://www.cve.org/CVERecord?id=CVE-2025-66430
- https://docs.plesk.com/release-notes/obsidian/whats-new/
- https://support.plesk.com/hc/en-us/articles/36261922405015--CVE-2025-66430-Security-vulnerability-in-Password-Protected-Directories-allows-Plesk-users-to-gain-root-level-access-to-a-Plesk-server
