【要点】

◎Plesk Linux版に権限昇格の脆弱性が判明。Apache設定を改ざんしroot権限で実行可能。CVSS 9.1のクリティカルで、修正版への即時更新が必要。

【要約】

ホスティング管理ツール「Plesk」のLinux版において、ディレクトリ保護機能「Password-Protected Directories」に権限昇格の脆弱性「CVE-2025-66430」が確認された。入力検証の不備により、同機能へアクセス可能なユーザーが細工したデータを送信すると、Apacheの設定を改ざんし、root権限で任意のコマンドを実行できるおそれがある。CISAはCVSSv3.1基本値9.1、重要度「クリティカル」と評価している。Pleskは修正済みのマイクロアップデート「18.0.74.2」「18.0.73.5」を公開しており、影響を受ける環境では速やかな更新が強く求められる。

【ニュース】

◆「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正 (Security NEXT, 2025/12/15)
https://www.security-next.com/178415