30秒で判断
対応すべき人:
- Plesk 18.0.78.4 未満を使用しているすべてのホスティング事業者・サーバー管理者
- 低権限ユーザーが存在するマルチテナント環境のPlesk管理者
対応不要な人:
- Plesk 18.0.78.4 以降を使用している場合
- Pleskを使用していない場合
確認コマンド:
# Plesk バージョン確認
plesk version
概要
WebPros Plesk 18.0.78.4 未満のXML-RPC APIに認可不備があります。本来はアクセス権のない低権限の認証済みユーザーが、所有していないドメインを検索できてしまいます。問題は2点あります:
- 特定のルックアップフィルタではオーナー確認が行われない
- レガシープロトコル版ではスキーマ検証が回避できる
これにより、他のテナントのFTP認証情報が平文で取得でき、さらにそのテナントのシステムユーザーとしてコードを実行できる可能性があります。マルチテナントホスティング環境では、一人の悪意ある顧客が全顧客の認証情報を窃取できる状態です。
CVSSベクトル
| 項目 | 値 | 説明 |
|---|---|---|
| Attack Vector | Network | ネットワーク経由で攻撃可能 |
| Attack Complexity | Low | 特別な条件不要 |
| Privileges Required | Low | 低権限アカウントのみ必要 |
| User Interaction | None | 被害者の操作不要 |
| Scope | Changed | 他テナントに影響 |
| Confidentiality | High | FTP認証情報が完全漏洩 |
| Integrity | High | テナントのシステムでコード実行可 |
| Availability | High | システムへの完全な侵害可能性 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Plesk | WebPros | 18.0.78.4 未満 |
修正バージョンと対応策
推奨対応: Plesk 18.0.78.4 以降へのアップデート
# Plesk 自動アップデート確認
plesk installer --select-release-current --upgrade
パッチ適用が困難な場合の暫定対策:
- XML-RPC APIへのアクセスを信頼済みIPのみに制限
- 低権限アカウントのアクティビティを監視
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
