Vulnerabilidad de cross site request forgery (CSRF) en Plesk CMS

La vulnerabilidad identificada como CVE-2021-45007 de severidad alta, sin puntuación asignada. Dicha vulnerabilidad se debe a una falla en la protección CSRF_token (enviada con solicitudes al servidor), que permitiría a un atacante remitir solicitudes falsas con el fin de insertar datos en el panel de usuario y de administración.

La versión afectada en Plesk es:

• Plesk CMS 18.0.37‎

Recomendamos instalar la actualización correspondiente provista por Plesk, mediante esta guía en el siguiente enlace:

• https://www.plesk.com/kb/support/bug-after-updating-to-plesk-obsidian-18-0-37-or-18-0-37-update-1-email-message-sent-to-plesk-email-account-without-mailbox-and-with-forwarding-to-external-mailbox-is-stuck-in-mail-queue/

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2021-45007
• https://github.com/AS4mir/CVE-2021-45007/blob/main/README.md
• https://cvepremium.circl.lu/cve/CVE-2021-45007