Critical Plesk Vulnerability Allows Users to Gain Root-Level Access
2025/12/15 gbhackers — Plesk が公開したのは、新たに発見された深刻なセキュリティ脆弱性 CVE-2025-66430 に関する情報である。この脆弱性を悪用する低権限のユーザーは、権限を昇格させることで、影響を受けるシステムでのルートレベルのアクセス権を取得できる。この欠陥は、広く利用されている Web ホスティング・コントロール・パネルである Plesk を、Web ホスティング・プロバイダー/サーバ管理に利用する組織にとって深刻な脅威となる。
脆弱性 CVE-2025-66430 の概要
この脆弱性 CVE-2025-66430 を悪用する攻撃者は、Plesk の認証/承認メカニズムの弱点を突ける。悪用に成功した攻撃者は、セキュリティ制御を回避し、標準ユーザー・アカウントの権限をルートレベルの管理者権限に昇格させられる。
このルートレベルの侵害により、ホスティング環境は完全に制御されてしまう。攻撃の例として挙げられるのは、機密データへのアクセス/システム設定の変更/ホストされる Web サイト全体への悪意あるペイロードの展開などである。
セキュリティ研究者たちが警告するのは、同一のサーバ・インフラ上で複数の顧客の Web サイトが稼働する共有ホスティング環境において、この脆弱性が壊滅的な影響をもたらす可能性である。具体的には、顧客データの流出/相互干渉/広範囲にわたるサービス中断などにつながる可能性がある。
この脆弱性の深刻さは計り知れない。脆弱な Plesk バージョンを実行する組織は、不正データアクセス/システム操作/ランサムウェア侵入といった差し迫ったリスクに直面している。そのため、複数クライアント・サーバを管理するホスティング・プロバイダーは、このパッチ適用を最優先事項として取り扱い、インフラ全体にわたるセキュリティ・インシデントの連鎖を防止する必要がある。
差し迫った技術的リスクに加え、この脆弱性により顧客データが漏洩した場合には、コンプライアンス違反に問われる可能性もある。また、ネットワーク環境内でのラテラル・ムーブメント (横方向移動) が可能であることから、この脆弱性は法人向けの環境において特に危険である。
システム管理者にとって必要なことは、Plesk のインストール状況を直ちに検証し、提供されるセキュリティ・アップデートを適用することである。また、ユーザー組織として実施すべきは、悪用時における潜在的な被害を最小化するための、ネットワーク・セグメンテーションの実装である。
パッチを適用するまでの期間においてセキュリティ・チームに強く推奨されるのは、権限昇格の試行や異常な管理アクティビティに対する監視の強化である。さらに、パッチ適用後に徹底したセキュリティ監査を実施し、修正前に不正アクセスが発生していないことを確認する必要がある。
ホスティング・インフラを標的とする新たな脅威に対して、定期的な脆弱性の診断およびタイムリーなパッチ展開は、重要な防御戦略である。
Plesk の脆弱性は、Plesk の認証/承認の仕組みに不備があったことに起因します。本来、一般ユーザーは自分の管理範囲外の操作ができないよう制限されていますが、この弱点を突かれると、その制限を回避してサーバー全体のルート権限が奪い取られてしまいます。特に多くの顧客が1台のサーバーを共有する環境では、一人のユーザーの侵害が、サーバー全体の侵害にまでつながる恐れがあります。ご利用のチームは、ご注意ください。よろしければ、カテゴリー AuthN AuthZ も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.