文章总结： PleskforLinux存在严重漏洞CVE-2025-66430，允许用户通过密码保护目录功能注入Apache配置获取root权限，影响版本18.0.70至18.0.74和Onyx，补丁已发布，建议立即更新并审查访问控制以防止服务器被攻陷。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应用安全

【安全圈】严重的 Plesk 漏洞允许用户获取 Root 级别访问权限

安全圈

2025年12月16日 19:00 江苏

关键词

漏洞

Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。

该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。

该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。

这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。

| CVE ID | 漏洞类型 | 受影响组件 | | — | — | — | | CVE-2025-66430 | 本地权限提升 | 密码保护目录 |

任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。

这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。

如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。

Plesk 已发布修复此漏洞的安全更新。

受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。

针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。

官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。

系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。

组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。

此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。

END

阅读推荐

【安全圈】59元汉堡套餐“0元购”？上海一男子利用知名快餐APP系统漏洞，改价代下单1300笔牟利！

【安全圈】民警黄某某任职期间开设网店，用密钥查询公民个人车辆信息，售出40多条获利2.4万元

【安全圈】为无人机“黑飞”提供破解服务，被刑拘！

【安全圈】网络操纵黑产调查：灰产SIM卡如何豢养虚拟水军操控舆论

【安全圈】黑客新套路：利用莱昂纳多主演新电影，连环设陷入侵你的电脑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

查看原文：《【安全圈】严重的 Plesk 漏洞允许用户获取 Root 级别访问权限》