CVE-2025-66430 em Plesk permite escalonamento a root

A falha CVE-2025-66430 em Plesk para Linux permite a injeção de dados na configuração do Apache a partir do recurso Password‑Protected Directories, resultando em escalonamento a root. Versões 18.0.70–18.0.74 e Plesk Onyx estão afetadas; a Plesk publicou micro‑atualizações (ex.: 18.0.73.5, 18.0.74.2). Administradores devem aplicar patches, revisar controles de acesso e monitorar alterações em arquivos de configuração.

Resumo da descoberta e escopo / O que mudou agora

Foi divulgada uma vulnerabilidade crítica em instalações Plesk para Linux, rastreada como CVE-2025-66430, que permite a um usuário com acesso ao recurso "Password-Protected Directories" injetar dados arbitrários em arquivos de configuração do Apache e, a partir daí, executar comandos com privilégios de root.

Vetor e exploração / Mitigações

O problema deriva do tratamento inadequado de entradas do usuário no recurso citado. Exploração bem-sucedida permite a modificação de configuração do Apache de modo a executar comandos com privilégios elevados. Segundo o comunicado técnico da Plesk citado pela cobertura original, versões afetadas incluem Plesk 18.0.70 até 18.0.74, além de instalações Plesk Onyx.

Mitigações imediatas recomendadas:

Aplicar os patches oficiais fornecidos pela Plesk — micro‑atualizações para 18.0.73.5 e 18.0.74.2 foram publicadas e devem ser instaladas imediatamente.
Rever controles de acesso ao recurso Password‑Protected Directories e restringir quem pode criar/alterar entradas protegidas.
Monitorar logs do Apache e do Plesk quanto a alterações inesperadas em arquivos de configuração e execução de comandos pelo sistema.
Isolar hosts de gestão Plesk e aplicar políticas de hardening e princípio do menor privilégio para contas de acesso.

Impacto e alcance / Setores afetados

Trata‑se de um escalonamento de privilégio local com potencial para comprometimento total do servidor (execução como root). Servidores web e hospedagem managed que usam Plesk para administração estão em risco — em particular provedores de hospedagem, ambientes de multi‑tenant e servidores que permitem que usuários autenticados utilizem o recurso de diretórios protegidos.

A capacidade de obter root pode levar à exfiltração de dados, implantação de malware persistente, movimentação lateral e compromissos de sites hospedados no mesmo servidor.

Limites das informações / O que falta saber

A cobertura original indica a existência da falha e as versões afetadas, além da disponibilidade de correções. Não há, nas fontes consultadas, evidência pública divulgada de exploração ativa em larga escala até o momento — caso haja atividade exploratória confirmada, as autoridades e o próprio fornecedor devem publicar detalhes técnicos e indicadores de compromisso.

Repercussão / Próximos passos / Recomendações operacionais

Administradores devem priorizar a atualização das instalações Plesk afetadas com urgência. Além da aplicação do patch, recomenda‑se:

Auditar contas com acesso ao recurso Password‑Protected Directories e remover privilégios desnecessários;
Verificar integridade de arquivos de configuração do Apache e procurar comandos ou includes maliciosos;
Restaurar a partir de backups confiáveis se houver sinais de comprometimento e realizar análise forense antes de reativar serviços;
Implementar monitoramento contínuo e alertas para mudanças nas configurações do servidor web e eventos de elevação de privilégios.

Observação: as instruções acima são baseadas na divulgação técnica e nas recomendações do fornecedor; em caso de dúvida operacional, siga o guia oficial da Plesk para atualização e mitigação.