Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de Cross-Site Scripting (XSS) en Plesk

Fecha de publicación 17/02/2023
Identificador

INCIBE-2023-0060

Importancia
4 - Alta
Recursos Afectados

La vulnerabilidad reportada afecta a las versiones de Plesk comprendidas entre la versión 17.0 y la 18.0.31.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad en Plesk, que ha sido descubierta por Tarek Bouali (@iambouali).

A esta vulnerabilidad se le ha asignado el código CVE-2023-0829. Se ha calculado una puntuación base CVSS v3.1 de 8,8, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H.

Solución

Esta vulnerabilidad se encuentra corregida en las últimas versiones con soporte de Plesk.

Para las versiones afectadas, Plesk ha lanzado un parche de seguridad. Más información aquí.

Detalle

Las versiones 17.0 a 18.0.31 de Plesk son vulnerables a una vulnerabilidad de Cross-Site Scripting. Un propietario de suscripción malicioso (ya sea un cliente o un usuario adicional), puede comprometer completamente el servidor si un administrador visita una determinada página en Plesk relacionada con la suscripción maliciosa.

CWE-79: neutralización inadecuada de la entrada durante la generación de la página web (Cross-Site Scripting).

Si tienes más información sobre este aviso, ponte en contacto con INCIBE, como se indica en la sección de 'Asignación y publicación de CVE'.

Encuesta valoración