つみかさね

CVE-2026-56843

Critical(9.9)

PleskのXML-RPC API認証情報漏洩 CVE-2026-56843:影響範囲と対応方法

公開日: 2026-07-12データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
PleskWebPros< 18.0.78.4

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1plesk version コマンドで現在のバージョンを確認する
  2. 218.0.78.4 未満の場合は即時アップデートを実施する
  3. 3アップデート前にXML-RPC APIへのアクセスログを確認し、不審なアクセスがないか調査する

影響対象

Plesk利用のホスティング事業者VPS/専用サーバーのPlesk管理者

補足

  • -マルチテナント環境では他顧客のデータ漏洩リスクがあるため優先度は最高
CVEPlesk認証情報漏洩XML-RPCマルチテナント

30秒で判断

対応すべき人:

  • Plesk 18.0.78.4 未満を使用しているすべてのホスティング事業者・サーバー管理者
  • 低権限ユーザーが存在するマルチテナント環境のPlesk管理者

対応不要な人:

  • Plesk 18.0.78.4 以降を使用している場合
  • Pleskを使用していない場合

確認コマンド:

# Plesk バージョン確認
plesk version

概要

WebPros Plesk 18.0.78.4 未満のXML-RPC APIに認可不備があります。本来はアクセス権のない低権限の認証済みユーザーが、所有していないドメインを検索できてしまいます。問題は2点あります:

  1. 特定のルックアップフィルタではオーナー確認が行われない
  2. レガシープロトコル版ではスキーマ検証が回避できる

これにより、他のテナントのFTP認証情報が平文で取得でき、さらにそのテナントのシステムユーザーとしてコードを実行できる可能性があります。マルチテナントホスティング環境では、一人の悪意ある顧客が全顧客の認証情報を窃取できる状態です。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由で攻撃可能
Attack ComplexityLow特別な条件不要
Privileges RequiredLow低権限アカウントのみ必要
User InteractionNone被害者の操作不要
ScopeChanged他テナントに影響
ConfidentialityHighFTP認証情報が完全漏洩
IntegrityHighテナントのシステムでコード実行可
AvailabilityHighシステムへの完全な侵害可能性

影響を受けるソフトウェア

製品ベンダー影響バージョン
PleskWebPros18.0.78.4 未満

修正バージョンと対応策

推奨対応: Plesk 18.0.78.4 以降へのアップデート

# Plesk 自動アップデート確認
plesk installer --select-release-current --upgrade

パッチ適用が困難な場合の暫定対策:

  • XML-RPC APIへのアクセスを信頼済みIPのみに制限
  • 低権限アカウントのアクティビティを監視

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。