Parallels Plesk bis 9.5.4 Request /phppath/php erweiterte Rechte ⚔ [Infragegestellt]
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Parallels Plesk bis 9.5.4 ausgemacht. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Datei /phppath/php der Komponente Request Handler. Die Manipulation führt zu erweiterte Rechte. Die Identifikation der Schwachstelle wird mit CVE-2012-1823 vorgenommen. Ferner existiert ein Exploit. Die reale Existenz dieser Sicherheitslücke ist momentan noch umstritten. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in Parallels Plesk bis 9.5.4 (Hosting Control Software) gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um ein unbekannter Teil der Datei /phppath/php der Komponente Request Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-77 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit und Integrität. CVE fasst zusammen:
sapi/cgi/cgi_main.c in PHP before 5.3.12 and 5.4.x before 5.4.2, when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.Die Schwachstelle wurde am 05.06.2013 durch De Eindbazen (kingcope) als Plesk Apache Zeroday Remote Exploit in Form eines bestätigten Mailinglist Posts (Full-Disclosure) publik gemacht. Das Advisory kann von seclists.org heruntergeladen werden. Die Veröffentlichung geschah dabei ohne Koordination mit dem Hersteller. Dem offiziellen Statement von Parallels ist zu entnehmen: "Die Schwachstelle ist eine Variation der schon länger bekannten Sicherheitslücke CVE-2012-1823, diese betrifft den CGI-Modus von PHP in älteren Plesk Versionen." Im Blog Post von Sucuri wird festgehalten, dass ein Exploiting scheinbar schon seit April 2013 stattgefunden hat. Die Verwundbarkeit wird seit dem 21.03.2012 unter CVE-2012-1823 geführt. Sie ist leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1202. Heise erklärt: "Der Hacker hat anscheinend einen Weg gefunden, den PHP-Interpreter über einen POST-Request mit beliebigen Konfigurationsparametern zu starten und zur Ausführung beliebiger Befehle zu überreden. Den Interpreter samt Parametern (etwa "safe_mode=off") ruft der Exploit über die angefragte URL auf, der auszuführende PHP-Code steckt im Datenteil."
Ein öffentlicher Exploit wurde durch kingcope (kingcope) in Perl umgesetzt und sofort nach dem Advisory veröffentlicht. Der Download des Exploits kann von seclists.org geschehen. Er wird als attackiert gehandelt. Die wahre Existenz der vermeintlichen Schwachstelle wird zur Zeit in Frage gestellt. Für den Vulnerability Scanner Nessus wurde am 13.06.2014 ein Plugin mit der ID 74630 (openSUSE Security Update : php5 (openSUSE-2012-288)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 185005 (HP-UX Apache Web Server Running PHP Denial of Service Vulenrability (HPSBUX02791)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 9.5.x, 10.x oder 11.x vermag dieses Problem zu beheben. Mit der Einstellung .htaccess config kann das Problem auch adressiert werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen. Heise führt weiter aus: "Laut KingCope zündet der Exploit nur, wenn Plesk wie folgt konfiguriert wurde: scriptAlias /phppath/ "/usr/bin/". Unklar ist derzeit noch, ob dieser Zustand eher die Regel oder die Ausnahme ist." Das offizielle Statement von Parallels hält fest: "Alle aktuell unterstützen Parallels Plesk Panel 9.5, 10.x und 11.x, sowie Parallels Plesk Automation, sind nicht betroffen. Sollte ein Anwender veraltete und nicht länger unterstütze Versionen von Parallels Plesk Panel verwenden, empfehlen wir, ein Update auf die neueste Version vorzunehmen. Für betroffene ältere Versionen stellen wir hier ein empfohlenes, nicht weiter unterstütztes Workaround zur Verfügung http://kb.parallels.com/en/113818." Angriffe können durch Snort ID 22063 erkannt werden. Weiterführend können Angriffe durch TippingPoint mittels dem Filter 12347 erkannt werden.
Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (29290), Tenable (74630), SecurityFocus (BID 53388†), OSVDB (93979†) und Secunia (SA53596†) dokumentiert. Auf Deutsch berichtet unter anderem Heise zum Fall. Weitere Informationen werden unter pcworld.com bereitgestellt. Die Einträge VDB-4600, VDB-5319, VDB-60825 und VDB-60731 sind sehr ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.parallels.com/
CPE 2.3
CPE 2.2
Video
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.1VulDB Meta Temp Score: 8.0
VulDB Base Score: 6.5
VulDB Temp Score: 6.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-77 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Autor: kingcope (kingcope)
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 74630
Nessus Name: openSUSE Security Update : php5 (openSUSE-2012-288)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 71344
OpenVAS Name: Debian Security Advisory DSA 2465-1 (php5)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Saint ID: exploit_info/php_cgi_arg_rce
Saint Name: PHP CGI Query String Parameters Command Execution
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: php_cgi_arg_injection.rb
MetaSploit Name: PHP CGI Argument Injection
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Exploit Delay Time: 🔍
Upgrade: Plesk 9.5.x/10.x/11.x
Config: .htaccess config
Workaround: kb.parallels.com
Snort ID: 22063
Snort Message: SERVER-WEBAPP PHP-CGI remote file include attempt
Snort Klasse: 🔍
Suricata ID: 2014704
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
21.03.2012 🔍03.05.2012 🔍
04.05.2012 🔍
04.05.2012 🔍
07.05.2012 🔍
11.05.2012 🔍
05.06.2013 🔍
05.06.2013 🔍
07.06.2013 🔍
29.10.2013 🔍
13.06.2014 🔍
04.11.2025 🔍
Quellen
Hersteller: parallels.comAdvisory: Plesk Apache Zeroday Remote Exploit
Person: De Eindbazen (kingcope)
Status: Bestätigt
Bestätigung: 🔍
Infragegestellt: 🔍
CVE: CVE-2012-1823 (🔍)
GCVE (CVE): GCVE-0-2012-1823
GCVE (VulDB): GCVE-100-9012
OVAL: 🔍
CERT: 🔍
SecurityFocus: 53388 - PHP 'php-cgi' Information Disclosure Vulnerability
Secunia: 53596 - Parallels Plesk Panel PHP CGI Arbitrary PHP Code Execution Vulnerability, Highly Critical
OSVDB: 93979
SecurityTracker: 1027022 - PHP Command Parameter Bug Lets Remote Users Obtain Potentially Sensitive Information and Execute Arbitrary Code
Vulnerability Center: 34990 - PHP 5.3-5.3.12 and 5.4-5.4.2 PHP-CGI Source Code Disclosure Vulnerability, High
Heise: 1883732
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 07.06.2013 17:56Aktualisierung: 04.11.2025 20:23
Anpassungen: 07.06.2013 17:56 (113), 11.04.2017 11:13 (14), 14.05.2021 12:18 (3), 24.04.2024 08:35 (28), 10.06.2024 20:46 (1), 16.07.2024 22:47 (11), 09.09.2024 22:29 (1), 24.12.2024 02:17 (1), 06.01.2025 21:33 (1), 04.11.2025 20:23 (1)
Komplett: 🔍
Cache ID: 216:154:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.