Plesk : plusieurs failles de sécurité critiques (CVE-2026-48614, CVE-2026-56843)
Ce texte a été généré par l'intelligence artificielle (IA).Mise à jour du 8 juillet 2026 : Par ailleurs, la vulnérabilité CVE-2026-56843 (CVSS 9,9) a été signalée ; elle permet la divulgation de mots de passe FTP en clair via l'API XML-RPC. Un correctif est disponible pour cette vulnérabilité dans la version 18.0.78.4. Voir ci-dessous pour plus de détails.
Le 6 juillet 2026, l'éditeur WebPros a révélé l'existence d'une vulnérabilité critique dans Plesk, un panneau de contrôle d'hébergement web très répandu. Cette faille, identifiée sous le nom de CVE-2026-48614, a été récompensé par un Score CVSS de 9,9 (critique) évaluée. Elle concerne l'API XML et permet à un attaquant authentifié disposant de droits limités d'obtenir le contrôle administratif de l'ensemble du serveur en raison d'une vérification d'autorisation défaillante.
Faits essentiels :
Identifiants CVE : CVE-2026-48614, CVE-2026-56843
Score CVSS : 9,9 (Critique) dans chaque cas
Logiciels concernés : Plesk (éditeur : WebPros)
CVE-2026-48614 : les versions concrètement concernées n'ont pas été précisées au moment de la divulgation ; pour obtenir des informations à jour, veuillez consulter le Avis aux fournisseurs.
CVE-2026-56843 : Plesk Obsidian < 18.0.78.4
Vecteur d'attaque : Injection de directives de configuration via l'API XML (CVE-2026-48614) ; faille d'autorisation dans l'API XML-RPC (CVE-2026-56843)
Conséquence : Extension des droits d'utilisateur (escalade de privilèges) pouvant aller jusqu'aux droits root et à la compromission totale du serveur ; divulgation des mots de passe FTP en clair.
Analyse technique : CVE-2026-48614
Cette vulnérabilité est classée comme „ autorisation incorrecte “. Un attaquant disposant déjà d'un accès valide au système avec des privilèges limités – par exemple en tant que client d'une offre d'hébergement mutualisé – peut envoyer des requêtes spécialement conçues à l'API XML. En raison d'un contrôle d'autorisation insuffisant, le système exécute ces requêtes avec des droits d'administrateur (root).
Le vecteur CVSS CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H illustre bien le danger élevé :
AV:N (Vecteur d'attaque : Réseau) : L'attaque peut être lancée via le réseau.
AC:L (Complexité de l'attaque : faible) : Cela ne nécessite aucune préparation complexe.
S:C (Portée : modifiée) : La vulnérabilité du composant Plesk affecte l'ensemble du système d'hébergement.
La combinaison de ces facteurs permet à un pirate d'écrire n'importe quel fichier sur le serveur et ainsi de prendre le contrôle de tous les sites web hébergés, des bases de données et des configurations. Selon les informations fournies par l'éditeur, rien n'indique à ce jour qu'une exploitation active ait eu lieu.
Analyse technique : CVE-2026-56843
La vulnérabilité CVE-2026-56843 affecte l'API XML-RPC de Plesk Obsidian dans les versions antérieures à la 18.0.78.4. En raison d'une vérification d'autorisation défectueuse, un attaquant authentifié disposant de droits limités peut interroger des domaines qui ne lui appartiennent pas et ainsi extraire des mots de passe FTP en clair. Le vecteur CVSS est identique à celui de CVE-2026-48614 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H), ce qui souligne le caractère tout aussi critique de la situation.
La divulgation des identifiants d'accès en clair permet à un pirate de se déplacer latéralement dans le système, de compromettre d'autres comptes et, potentiellement, de prendre le contrôle total du serveur. Un correctif pour la vulnérabilité CVE-2026-56843 est disponible dans la version 18.0.78.4 disponible. Les administrateurs sont invités à effectuer sans délai la mise à jour vers cette version.
Les vulnérabilités CVE-2026-48614 et CVE-2026-56843 s'inscrivent dans une série récurrente de failles critiques chez WebPros. Dès mai 2026, CVE-2026-44962 a été révélée avec un score CVSS de 10,0 : il s'agit d'une injection XPath dans l'APS Application Catalog, qui permettait également de prendre le contrôle total du serveur. Auparavant, la vulnérabilité CVE-2025-66430 (décembre 2025) avait mis en évidence une voie similaire d’escalade de privilèges via la fonctionnalité « Password-Protected-Directories ». Cette tendance souligne l’importance d’une gestion continue des risques liés aux fournisseurs pour les entreprises qui utilisent les produits WebPros.
Contre-mesures recommandées
Les administrateurs de serveurs Plesk doivent agir sans délai pour protéger leurs systèmes. L'éditeur recommande de suivre les étapes suivantes :
Mesure principale : vérification des mises à jour de sécurité disponibles
La mesure la plus importante consiste à vérifier sans délai si des mises à jour de sécurité sont disponibles pour l'installation de Plesk. Pour CVE-2026-56843 est un correctif de la version 18.0.78.4 disponible — Les administrateurs sont invités à effectuer sans délai la mise à jour vers cette version. Pour CVE-2026-48614 les administrateurs devraient utiliser la fonction de mise à jour intégrée et Avis aux fournisseurs surveiller les informations relatives aux correctifs dès qu'une version corrigée est disponible.
Mesure temporaire : restreindre l'accès à l'API XML
Si une mise à jour immédiate n'est pas possible, l'accès à l'API XML peut, selon l'avis du fournisseur, être limité aux adresses IP de confiance à titre de mesure temporaire. Cette configuration dans le fichier panel.ini réduit la surface d'attaque, mais ne remplace pas le correctif nécessaire.
Une gestion continue des vulnérabilités est indispensable pour être prêt à faire face à de telles menaces.
Pertinence pour la région DACH et cadre réglementaire
Plesk est largement utilisé dans les centres de données de la région DACH et chez les fournisseurs d'hébergement géré. Les entreprises et les prestataires de services qui exploitent des instances Plesk doivent vérifier si une attaque réussie pourrait affecter des données à caractère personnel — dans ce cas, l’obligation de notification prévue par l’article 33 du RGPD s’applique, avec un délai de 72 heures pour informer l’autorité compétente en matière de protection des données. Les entreprises soumises à la directive NIS 2 doivent en outre évaluer si leurs installations Plesk font partie de leur infrastructure soumise à l'obligation de notification et documenter les mesures prises en conséquence.
Comment l'EASM et le VRM réduisent le risque
Des vulnérabilités telles que CVE-2026-48614 et CVE-2026-56843 montrent à quel point la surveillance continue de la surface d'attaque externe est cruciale. Les installations Plesk font souvent partie de l’infrastructure accessible depuis l’extérieur d’une entreprise ou de ses prestataires de services — et sont souvent exploitées dans le cadre d’un « shadow IT », sans que les responsables de la sécurité aient une vue d’ensemble complète de toutes les instances exposées.
Un Gestion de la surface d'attaque externe (EASM) comme ceux identifiés par LocateRisk, ce système les détecte automatiquement — même s'ils font partie de l'informatique fantôme ou s'ils fonctionnent sur des infrastructures tierces. La plateforme détecte les panneaux Plesk accessibles depuis l'extérieur et permet aux équipes de sécurité de localiser rapidement les instances concernées et de vérifier l'état des correctifs.
De plus, il y a un Gestion continue des risques liés aux fournisseurs (C-VRM) déterminant. La récurrence de failles critiques chez WebPros montre clairement pourquoi il est indispensable d'évaluer en permanence la sécurité des fournisseurs et de leurs produits. Les entreprises peuvent ainsi prendre des décisions éclairées concernant l'utilisation de logiciels tiers et identifier à un stade précoce les risques présents dans la chaîne d'approvisionnement.
LocateRisk exploite sa plateforme dans des centres de données allemands et aide les entreprises à se conformer aux exigences du RGPD, à préserver leur souveraineté numérique et à documenter de manière vérifiable leur conformité aux exigences réglementaires.
LocateRisk identifie et évalue en permanence les vulnérabilités de vos systèmes informatiques externes. Protégez votre entreprise de manière proactive contre les attaques. Lancer un contrôle de sécurité gratuit
CVE-2026-48614 et CVE-2026-56843 sont des vulnérabilités critiques affectant respectivement l'API XML et l'API XML-RPC du panneau de contrôle d'hébergement web Plesk de WebPros. CVE-2026-48614 permet à un attaquant authentifié disposant de privilèges limités d'injecter des directives de configuration arbitraires en exploitant une vérification d'autorisation défaillante, et d'obtenir ainsi des privilèges root sur le serveur concerné. CVE-2026-56843 permet à un attaquant disposant de privilèges limités de lire les mots de passe FTP en clair et de se déplacer latéralement dans le système. Avec un score CVSS de 9,9 chacune, ces deux vulnérabilités comptent parmi les plus graves connues dans les logiciels d'hébergement.
Pour CVE-2026-56843 Les versions de Plesk Obsidian antérieures à la version 18.0.78.4 sont concernées ; un correctif est disponible dans la version 18.0.78.4 disponible. Pour CVE-2026-48614 Au moment de la divulgation, le 6 juillet 2026, WebPros n'avait pas publié de numéros de version spécifiques concernés ; aucune version corrigée n'a non plus été confirmée à ce jour. Les administrateurs devraient Avis aux fournisseurs vérifier régulièrement les dernières informations concernant les correctifs et installer immédiatement les mises à jour disponibles.
Pour CVE-2026-56843 les administrateurs devraient passer sans délai à la version 18.0.78.4 mettre à jour. Pour CVE-2026-48614 WebPros recommande, à titre de mesure temporaire, de limiter l'accès à l'API XML aux adresses IP de confiance — cette option est configurable via le fichier panel.ini. Cette mesure réduit la surface d'attaque, mais ne remplace pas un correctif de sécurité officiel. Selon les informations fournies par le fabricant, rien n'indique, à la date de publication, que ces vulnérabilités fassent l'objet d'une exploitation active.
Vérification rapide CVE
Vérifiez en quelques minutes si votre surface d'attaque visible depuis l'extérieur présente des indices liés à une vulnérabilité CVE actuelle.
Une estimation approximative en quelques minutes par e-mail.
Pour en savoir plus, contactez gratuitement un consultant LocateRisk.
Vous recevrez cela par e-mail
EntreprisesVotre société GmbH
CVE vérifiésCVE-2024-3094
Évaluation passive
Remarques concernant le CVEIndications trouvées
En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.