В открытом доступе опубликован рабочий эксплоит, позволяющий выполнить произвольный код на web-серверах, на которых установлена панель управления хостингом Plesk. Проблема проверена на системах с Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающих под управлением Linux и FreeBSD (остальные системы не тестировались и возможно также являются уязвимыми). Уязвимость пока остаётся неисправленной. По предварительной оценке в Сети находится около 360 тысяч потенциально уязвимых серверов, на который установлена панель Plesk.
Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие ограничениями настройки конфигурации PHP, открывается возможность выполнения произвольного внешнего PHP-скрипта с правами http-сервера Apache. Компания Parallels пока официально не отреагировала на уязвимость, для временной защиты разработчик эксплоита рекомендует удалить из конфигурации Apache устанавливаемую Plesk строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.
Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие ограничениями настройки конфигурации PHP, открывается возможность выполнения произвольного внешнего PHP-скрипта с правами http-сервера Apache. Компания Parallels пока официально не отреагировала на уязвимость, для временной защиты разработчик эксплоита рекомендует удалить из конфигурации Apache устанавливаемую Plesk строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.