Plesk: mehrere kritische Sicherheitslücken (CVE-2026-48614, CVE-2026-56843)
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Update 08.07.2026: Zusätzlich wurde CVE-2026-56843 (CVSS 9.9) bekannt, die eine Offenlegung von FTP-Passwörtern im Klartext über die XML-RPC-API ermöglicht. Für diese Schwachstelle ist ein Patch in Version 18.0.78.4 verfügbar. Details siehe unten.
Am 6. Juli 2026 hat der Hersteller WebPros eine kritische Schwachstelle im weit verbreiteten Webhosting Control Panel Plesk offengelegt. Die Lücke, identifiziert als CVE-2026-48614, wurde mit einem CVSS-Score von 9.9 (kritisch) bewertet. Sie betrifft die XML-API und erlaubt es einem authentifizierten Angreifer mit geringen Rechten, durch eine fehlerhafte Autorisierungsprüfung administrative Kontrolle über den gesamten Server zu erlangen.
Zentrale Fakten:
CVE-IDs: CVE-2026-48614, CVE-2026-56843
CVSS-Score: jeweils 9.9 (Kritisch)
Betroffene Software: Plesk (Hersteller: WebPros)
CVE-2026-48614: konkrete betroffene Versionen wurden zum Zeitpunkt der Offenlegung nicht spezifiziert; aktuelle Informationen entnehmen Sie dem Vendor Advisory.
CVE-2026-56843: Plesk Obsidian < 18.0.78.4
Angriffsvektor: Injektion von Konfigurationsdirektiven über die XML-API (CVE-2026-48614); fehlerhafte Autorisierung in der XML-RPC-API (CVE-2026-56843)
Auswirkung: Ausweitung von Benutzerrechten (Privilege Escalation) bis hin zu Root-Rechten und vollständiger Kompromittierung des Servers; Offenlegung von FTP-Passwörtern im Klartext.
Technische Analyse: CVE-2026-48614
Die Schwachstelle wird als „Improper Authorization“ klassifiziert. Ein Angreifer, der bereits über einen gültigen, niedrig privilegierten Zugang zum System verfügt – etwa als Kunde eines Shared-Hosting-Angebots –, kann speziell präparierte Anfragen an die XML-API senden. Aufgrund einer unzureichenden Berechtigungsprüfung führt das System diese Anfragen mit administrativen (Root-)Rechten aus.
Der CVSS-Vektor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H verdeutlicht die hohe Gefahr:
AV:N (Attack Vector: Network): Der Angriff kann über das Netzwerk erfolgen.
AC:L (Attack Complexity: Low): Er erfordert keine komplexe Vorbereitung.
PR:L (Privileges Required: Low): Geringe Benutzerrechte sind ausreichend.
S:C (Scope: Changed): Die Schwachstelle in der Plesk-Komponente wirkt sich auf das gesamte Host-System aus.
Die Kombination dieser Faktoren ermöglicht es einem Angreifer, beliebige Dateien auf dem Server zu schreiben und somit die Kontrolle über alle gehosteten Webseiten, Datenbanken und Konfigurationen zu übernehmen. Laut Herstellerangaben gibt es bislang keine Hinweise auf eine aktive Ausnutzung.
Technische Analyse: CVE-2026-56843
CVE-2026-56843 betrifft die XML-RPC-API von Plesk Obsidian in Versionen vor 18.0.78.4. Durch eine fehlerhafte Autorisierungsprüfung kann ein authentifizierter Angreifer mit niedrigen Rechten Domänen abfragen, die nicht in seinem Besitz sind, und dabei FTP-Passwörter im Klartext auslesen. Der CVSS-Vektor ist identisch mit CVE-2026-48614 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H), was die vergleichbare Kritikalität unterstreicht.
Die Offenlegung von Zugangsdaten im Klartext ermöglicht es einem Angreifer, sich lateral im System zu bewegen, weitere Accounts zu kompromittieren und potenziell die vollständige Kontrolle über den Server zu erlangen. Für CVE-2026-56843 ist ein Patch in Version 18.0.78.4 verfügbar. Administratoren sollten umgehend auf diese Version aktualisieren.
CVE-2026-48614 und CVE-2026-56843 reihen sich in ein wiederkehrendes Muster kritischer Schwachstellen bei WebPros ein. Bereits im Mai 2026 wurde CVE-2026-44962 mit einem CVSS-Score von 10.0 offengelegt — eine XPath-Injection im APS Application Catalog, die ebenfalls vollständige Serverübernahmen ermöglichte. Zuvor hatte CVE-2025-66430 (Dezember 2025) einen ähnlichen Privilege-Escalation-Pfad über die Password-Protected-Directories-Funktion aufgezeigt. Dieses Muster unterstreicht die Bedeutung eines kontinuierlichen Vendor Risk Managements für Unternehmen, die WebPros-Produkte einsetzen.
Empfohlene Gegenmaßnahmen
Administratoren von Plesk-Servern sollten umgehend handeln, um ihre Systeme zu schützen. Der Hersteller empfiehlt die folgenden Schritte:
Primäre Maßnahme: Prüfung auf verfügbare Sicherheitsupdates
Die wichtigste Maßnahme ist die unverzügliche Prüfung auf Sicherheitsupdates für die Plesk-Installation. Für CVE-2026-56843 ist ein Patch in Version 18.0.78.4 verfügbar — Administratoren sollten umgehend auf diese Version aktualisieren. Für CVE-2026-48614 sollten Administratoren die integrierte Update-Funktion nutzen und das Vendor Advisory auf aktuelle Patch-Informationen überwachen, sobald eine gepatchte Version verfügbar ist.
Temporäre Maßnahme: Zugriff auf die XML-API einschränken
Falls ein sofortiges Update nicht durchführbar ist, kann der Zugriff auf die XML-API laut Vendor Advisory als temporäre Maßnahme auf vertrauenswürdige IP-Adressen beschränkt werden. Diese Konfiguration in der Datei panel.ini reduziert die Angriffsfläche, ersetzt jedoch nicht den notwendigen Patch.
Ein kontinuierliches Schwachstellenmanagement ist unerlässlich, um auf solche Bedrohungen vorbereitet zu sein.
DACH-Relevanz und regulatorische Einordnung
Plesk ist in DACH-Rechenzentren und bei Managed Hosting Providern weit verbreitet. Unternehmen und Dienstleister, die Plesk-Instanzen betreiben, sollten prüfen, ob ein erfolgreicher Angriff personenbezogene Daten betreffen könnte — in diesem Fall greift die DSGVO-Meldepflicht nach Art. 33 mit einer 72-Stunden-Frist gegenüber der zuständigen Datenschutzbehörde. NIS-2-pflichtige Unternehmen sollten darüber hinaus bewerten, ob Plesk-Installationen Teil ihrer meldepflichtigen Infrastruktur sind und entsprechende Maßnahmen dokumentieren.
Wie EASM und VRM das Risiko reduzieren
Schwachstellen wie CVE-2026-48614 und CVE-2026-56843 zeigen, wie kritisch die kontinuierliche Überwachung der externen Angriffsfläche ist. Plesk-Installationen sind oft Teil der extern erreichbaren Infrastruktur eines Unternehmens oder seiner Dienstleister — und werden dabei nicht selten als Schatten-IT betrieben, ohne dass die Sicherheitsverantwortlichen einen vollständigen Überblick über alle exponierten Instanzen haben.
Ein External Attack Surface Management (EASM) wie das von LocateRisk identifiziert solche Systeme automatisiert — auch wenn sie zur Schatten-IT gehören oder auf Infrastruktur von Drittanbietern laufen. Die Plattform erkennt extern erreichbare Plesk-Panels und ermöglicht es Sicherheitsteams, betroffene Instanzen schnell zu lokalisieren und den Patch-Status zu überprüfen.
Zusätzlich ist ein Continuous Vendor Risk Management (C-VRM) entscheidend. Das Muster wiederkehrender kritischer Schwachstellen bei WebPros verdeutlicht, warum die kontinuierliche Bewertung der Sicherheitslage von Lieferanten und deren Produkten unverzichtbar ist. So können Unternehmen fundierte Entscheidungen über den Einsatz von Drittanbieter-Software treffen und Risiken in der Lieferkette frühzeitig erkennen.
LocateRisk betreibt seine Plattform in deutschen Rechenzentren und unterstützt Unternehmen dabei, DSGVO-Anforderungen zu erfüllen sowie ihre digitale Souveränität zu wahren und regulatorische Anforderungen nachweisbar zu dokumentieren.
LocateRisk identifiziert und bewertet kontinuierlich Ihre externen IT-Systeme auf Schwachstellen. Schützen Sie Ihr Unternehmen proaktiv vor Angriffen. Kostenlosen Sicherheits-Check starten
CVE-2026-48614 und CVE-2026-56843 sind kritische Schwachstellen in der XML-API bzw. XML-RPC-API des Webhosting Control Panels Plesk von WebPros. CVE-2026-48614 ermöglicht es einem authentifizierten Angreifer mit geringen Rechten, durch eine fehlerhafte Autorisierungsprüfung beliebige Konfigurationsdirektiven einzuschleusen und dadurch Root-Rechte auf dem betroffenen Server zu erlangen. CVE-2026-56843 erlaubt es einem niedrig privilegierten Angreifer, FTP-Passwörter im Klartext auszulesen und sich lateral im System zu bewegen. Mit einem CVSS-Score von jeweils 9.9 gehören beide zu den schwerwiegendsten bekannten Schwachstellen in Hosting-Software.
Für CVE-2026-56843 sind Plesk Obsidian-Versionen vor 18.0.78.4 betroffen; ein Patch ist in Version 18.0.78.4 verfügbar. Für CVE-2026-48614 hat WebPros zum Zeitpunkt der Offenlegung am 6. Juli 2026 keine spezifischen betroffenen Versionsnummern veröffentlicht; auch eine konkret gepatchte Version ist bislang nicht bestätigt. Administratoren sollten das Vendor Advisory fortlaufend auf aktuelle Patch-Informationen prüfen und verfügbare Updates unverzüglich einspielen.
Für CVE-2026-56843 sollten Administratoren umgehend auf Version 18.0.78.4 aktualisieren. Für CVE-2026-48614 empfiehlt WebPros als temporäre Maßnahme, den Zugriff auf die XML-API auf vertrauenswürdige IP-Adressen zu beschränken — konfigurierbar über die Datei panel.ini. Diese Maßnahme reduziert die Angriffsfläche, ersetzt jedoch keinen offiziellen Sicherheitspatch. Laut Herstellerangaben gibt es zum Zeitpunkt der Veröffentlichung keine Hinweise auf eine aktive Ausnutzung der Schwachstellen.
CVE Quick Check
Prüfen Sie in wenigen Minuten, ob zu einer aktuellen CVE Hinweise auf Ihrer extern sichtbaren Angriffsfläche erkennbar sind.
Grobe Einschätzung in wenigen Minuten per E-Mail.
Details im kostenlosen Gespräch mit einem LocateRisk Consultant.
Das erhalten Sie per E-Mail
UnternehmenIhre Firma GmbH
Geprüfte CVECVE-2024-3094
Passive Bewertung
Hinweise zur CVEHinweise gefunden
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.