{"id":1623,"date":"2026-03-23T16:09:04","date_gmt":"2026-03-23T15:09:04","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/cve-2025-66431-plesk-vulnerabilita-critica-esecuzione-codice-root-creazione-domini\/"},"modified":"2026-03-23T16:09:04","modified_gmt":"2026-03-23T15:09:04","slug":"cve-2025-66431-plesk-vulnerabilita-critica-esecuzione-codice-root-creazione-domini","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/cve-2025-66431-plesk-vulnerabilita-critica-esecuzione-codice-root-creazione-domini\/","title":{"rendered":"CVE-2025-66431: Come Proteggo il Mio Server Plesk dalla Vulnerabilit\u00e0 Critica di Esecuzione Codice Arbitrario come Root nel Meccanismo di Creazione Domini"},"content":{"rendered":"<p>Quando gestisci server Plesk in produzione con decine di clienti e domini attivi, una vulnerabilit\u00e0 che consente l&#8217;esecuzione di codice arbitrario come <strong>root<\/strong> \u00e8 lo scenario peggiore possibile. Eppure \u00e8 esattamente quello che \u00e8 successo con la <strong>CVE-2025-66431<\/strong>, una falla critica scoperta nel meccanismo di creazione domini di Plesk che permette a un utente autenticato di compromettere completamente il server.<\/p>\n<p>Nella mia esperienza di system administrator, ho imparato che le vulnerabilit\u00e0 di <em>privilege escalation<\/em> nei pannelli di controllo sono tra le pi\u00f9 pericolose in assoluto. Non stiamo parlando di un attacco esterno che deve superare firewall e WAF: qui basta un account Plesk con permessi standard per ottenere accesso root. Appena ho letto l&#8217;advisory ufficiale di WebPros, ho immediatamente verificato lo stato di tutti i miei server \u2014 e vi mostro esattamente come ho fatto e cosa dovete fare anche voi.<\/p>\n<p>Questa vulnerabilit\u00e0 \u00e8 particolarmente insidiosa perch\u00e9 sfrutta un difetto nel modo in cui Plesk gestisce i <em>symlink<\/em> durante la creazione dei domini, un&#8217;operazione che ogni utente del pannello esegue quotidianamente. Se non avete ancora applicato la patch, il vostro server \u00e8 esposto adesso. Ecco la mia procedura completa per verificare, correggere e blindare l&#8217;infrastruttura.<\/p>\n<h2>Cos&#8217;\u00e8 la CVE-2025-66431 e Perch\u00e9 \u00e8 Cos\u00ec Pericolosa<\/h2>\n<p>La <strong>CVE-2025-66431<\/strong> \u00e8 una vulnerabilit\u00e0 di tipo <em>Local Privilege Escalation<\/em> (LPE) che affligge tutte le versioni di <strong>Plesk Obsidian su Linux<\/strong> precedenti alla 18.0.73.5 e dalla 18.0.74 fino alla 18.0.74.2. Il problema risiede nel meccanismo di creazione domini, che non gestisce correttamente i <em>symbolic link<\/em> (symlink) verso risorse esterne al perimetro autorizzato.<\/p>\n<p>In termini tecnici, la vulnerabilit\u00e0 \u00e8 classificata come <strong>CWE-61<\/strong> (<em>UNIX Symbolic Link Following<\/em>): il sistema non verifica adeguatamente se un file \u00e8 in realt\u00e0 un symlink che punta a una destinazione al di fuori della sfera di controllo prevista. Un attaccante pu\u00f2 quindi manipolare il processo di creazione dominio per far operare Plesk su file di sistema arbitrari con privilegi root.<\/p>\n<p>Il punteggio <strong>CVSS 3.1 \u00e8 7.8 (HIGH)<\/strong>, con vettore <code>AV:L\/AC:H\/PR:L\/UI:N\/S:C\/C:H\/I:H\/A:H<\/code>. Tradotto in italiano: l&#8217;attacco \u00e8 locale, richiede bassa complessit\u00e0 e bassi privilegi, non necessita interazione utente e l&#8217;impatto su confidenzialit\u00e0, integrit\u00e0 e disponibilit\u00e0 \u00e8 <strong>alto<\/strong> con cambio di scope \u2014 significa che compromette componenti al di fuori del perimetro dell&#8217;utente.<\/p>\n<h2>Chi \u00e8 Vulnerabile: Versioni Affette e Requisiti dell&#8217;Attacco<\/h2>\n<p>Le versioni di Plesk vulnerabili sono:<\/p>\n<ul>\n<li><strong>Plesk Obsidian dalla 18.0.70 alla 18.0.73.4<\/strong> (tutte le build precedenti alla 18.0.73.5)<\/li>\n<li><strong>Plesk Obsidian 18.0.74 fino alla 18.0.74.1<\/strong> (corretta nella 18.0.74.2)<\/li>\n<li>Solo sistemi <strong>Linux<\/strong> \u2014 Windows non \u00e8 affetto<\/li>\n<\/ul>\n<p>Per sfruttare la vulnerabilit\u00e0, l&#8217;attaccante deve essere un <strong>utente Plesk autenticato<\/strong> con i seguenti permessi abilitati:<\/p>\n<ul>\n<li>Permesso <strong>&#8220;Crea e gestisci siti&#8221;<\/strong> attivo<\/li>\n<li>Accesso a una sottoscrizione con <strong>&#8220;Gestione domini&#8221;<\/strong> e <strong>&#8220;Gestione sottodomini&#8221;<\/strong> abilitati<\/li>\n<\/ul>\n<p>Nella pratica, questi sono permessi piuttosto comuni. Qualsiasi cliente di hosting con un piano che permetta di aggiungere domini o sottodomini potrebbe potenzialmente sfruttare questa falla. In ambienti <em>shared hosting<\/em>, dove decine di utenti condividono lo stesso server, il rischio \u00e8 enorme: un singolo account compromesso o un cliente malintenzionato pu\u00f2 ottenere il <strong>controllo totale del server<\/strong>, inclusi i dati di tutti gli altri clienti.<\/p>\n<h2>Come Verifico se il Mio Server Plesk \u00e8 Vulnerabile<\/h2>\n<p>La prima cosa che ho fatto quando \u00e8 uscito l&#8217;advisory \u00e8 stata connettermi via SSH a ciascun server e verificare la versione installata. Ecco i comandi che utilizzo:<\/p>\n<h3>Controllo Versione da Riga di Comando<\/h3>\n<p>Il metodo pi\u00f9 rapido \u00e8 il comando nativo di Plesk:<\/p>\n<pre><code>plesk version<\/code><\/pre>\n<p>L&#8217;output mostrer\u00e0 la versione del prodotto, la build e la revisione. In alternativa, potete leggere direttamente il file di versione:<\/p>\n<pre><code>cat \/usr\/local\/psa\/version<\/code><\/pre>\n<p>Se la versione riportata \u00e8 <strong>inferiore a 18.0.73.5<\/strong> oppure \u00e8 la <strong>18.0.74 o 18.0.74.1<\/strong>, il vostro server \u00e8 vulnerabile e dovete aggiornare immediatamente.<\/p>\n<h3>Controllo da Interfaccia Web<\/h3>\n<p>Se preferite l&#8217;interfaccia grafica, accedete a <strong>Plesk &gt; Strumenti e Impostazioni &gt; Aggiornamenti del sistema<\/strong>. La versione corrente \u00e8 indicata nella parte superiore della pagina. Cercate la disponibilit\u00e0 di micro-update in sospeso.<\/p>\n<h2>Procedura di Aggiornamento Step-by-Step<\/h2>\n<p>Una volta confermata la vulnerabilit\u00e0, ecco la procedura che ho seguito sui miei server per applicare la patch. WebPros ha rilasciato sia un <em>hotfix<\/em> che un <em>micro-update<\/em> per le versioni 18.0.73.5 e 18.0.74.2.<\/p>\n<h3>Aggiornamento via CLI (Raccomandato)<\/h3>\n<p>Personalmente preferisco sempre aggiornare da riga di comando perch\u00e9 ho il pieno controllo del processo. Ecco i passaggi:<\/p>\n<ol>\n<li><strong>Backup preventivo<\/strong> \u2014 Prima di qualsiasi aggiornamento, eseguo sempre un backup completo. Come ho spiegato nel mio articolo su <a href=\"https:\/\/darioiannascoli.it\/blog\/backup-automatici-plesk-s3-compatible-incrementali-retention-restore-wordpress\/\">backup automatici su Plesk con S3-Compatible<\/a>, avere un backup recente \u00e8 fondamentale prima di operazioni critiche.<\/li>\n<li><strong>Verifica aggiornamenti disponibili<\/strong>:\n<pre><code>plesk installer --select-release-latest --show-all-releases<\/code><\/pre>\n<\/li>\n<li><strong>Installa gli aggiornamenti del pannello<\/strong>:\n<pre><code>plesk installer install-panel-updates<\/code><\/pre>\n<p>Questo comando installa specificamente i micro-update di sicurezza di Plesk senza toccare i componenti aggiuntivi.<\/li>\n<li><strong>Aggiornamento completo<\/strong> (se volete aggiornare anche i componenti):\n<pre><code>plesk installer --select-release-latest --upgrade-installed-components<\/code><\/pre>\n<\/li>\n<li><strong>Verifica post-aggiornamento<\/strong>:\n<pre><code>plesk version<\/code><\/pre>\n<p>Confermato che la versione \u00e8 18.0.73.5 o 18.0.74.2 (o superiore).<\/li>\n<\/ol>\n<h3>Aggiornamento via Interfaccia Web<\/h3>\n<p>Se preferite la GUI, andate in <strong>Strumenti e Impostazioni &gt; Aggiornamenti del sistema &gt; Installa aggiornamenti<\/strong>. Plesk scaricher\u00e0 e applicher\u00e0 automaticamente il micro-update. Al termine, verificate che la versione sia aggiornata.<\/p>\n<h2>La Vulnerabilit\u00e0 Gemella: CVE-2025-66430<\/h2>\n<p>\u00c8 importante sapere che la CVE-2025-66431 non \u00e8 stata l&#8217;unica vulnerabilit\u00e0 critica corretta in questo ciclo di patch. La <strong>CVE-2025-66430<\/strong> \u00e8 una falla nella funzionalit\u00e0 <em>Password Protected Directories<\/em> di Plesk che permette l&#8217;<strong>iniezione di dati arbitrari nella configurazione Apache<\/strong>, portando anch&#8217;essa all&#8217;esecuzione di comandi come root.<\/p>\n<p>In questo caso, qualsiasi utente Plesk con accesso alla funzionalit\u00e0 di directory protette da password pu\u00f2 iniettare direttive malevole nei file di configurazione di Apache, ottenendo privilegi root. Anche questa vulnerabilit\u00e0 \u00e8 corretta nelle stesse versioni (18.0.73.5 e 18.0.74.2), quindi con un singolo aggiornamento risolvete entrambi i problemi.<\/p>\n<h2>Hardening Post-Patch: Misure di Sicurezza Aggiuntive<\/h2>\n<p>Applicare la patch \u00e8 il primo passo, ma nella mia esperienza non basta mai. Ecco le misure di <em>hardening<\/em> aggiuntive che implemento sempre dopo una vulnerabilit\u00e0 di questo tipo:<\/p>\n<h3>Revisione dei Permessi Utente<\/h3>\n<p>Dato che la CVE-2025-66431 richiede specifici permessi per essere sfruttata, ho colto l&#8217;occasione per rivedere tutti i permessi assegnati ai clienti:<\/p>\n<ul>\n<li><strong>Principio del minimo privilegio<\/strong>: rimuovete la gestione domini e sottodomini dagli utenti che non ne hanno reale necessit\u00e0<\/li>\n<li><strong>Audit degli account<\/strong>: verificate che non ci siano account inutilizzati o dimenticati con permessi elevati<\/li>\n<li><strong>Sottoscrizioni condivise<\/strong>: controllate che nessuna sottoscrizione conceda permessi eccessivi per default<\/li>\n<\/ul>\n<h3>Monitoraggio dei Log<\/h3>\n<p>Dopo aver applicato la patch, ho controllato i log per verificare eventuali segni di sfruttamento pregresso:<\/p>\n<pre><code># Verifica creazioni domini recenti sospette\ngrep -i \"domain.*creat\" \/var\/log\/plesk\/panel.log | tail -50\n\n# Controlla accessi SSH e comandi eseguiti\nlast -50\ncat \/var\/log\/auth.log | grep -i \"accepted\" | tail -30<\/code><\/pre>\n<p>Cercate creazioni di domini anomale, specialmente da account che normalmente non creano domini, o pattern inusuali nei timestamp.<\/p>\n<h3>Protezione dei Symlink a Livello Apache<\/h3>\n<p>Come misura di difesa in profondit\u00e0, verifico sempre che la configurazione Apache limiti il <em>symlink following<\/em>. In <strong>Plesk &gt; Strumenti e Impostazioni &gt; Impostazioni Apache<\/strong> o direttamente nella configurazione:<\/p>\n<pre><code># In \/etc\/apache2\/conf.d\/security.conf o equivalente\nOptions -FollowSymLinks +SymLinksIfOwnerMatch<\/code><\/pre>\n<p>La direttiva <code>SymLinksIfOwnerMatch<\/code> consente di seguire i symlink solo se il proprietario del link coincide con il proprietario del target, limitando significativamente il raggio d&#8217;azione di attacchi basati su symlink.<\/p>\n<h3>Aggiornamenti Automatici dei Micro-Update<\/h3>\n<p>Come descritto nella mia guida su <a href=\"https:\/\/darioiannascoli.it\/blog\/configurare-server-plesk-obsidian-hosting-wordpress-prestazioni-sicurezza-2026\/\">come configurare un server Plesk Obsidian per la sicurezza<\/a>, raccomando sempre di abilitare gli aggiornamenti automatici per i micro-update di sicurezza:<\/p>\n<p>Andate in <strong>Strumenti e Impostazioni &gt; Aggiornamenti del sistema &gt; Impostazioni<\/strong> e selezionate <strong>&#8220;Installa automaticamente gli aggiornamenti di sicurezza&#8221;<\/strong>. In questo modo, patch critiche come questa verranno applicate senza intervento manuale.<\/p>\n<h2>Il Contesto: Sicurezza dei Pannelli di Controllo nel 2026<\/h2>\n<p>Questa vulnerabilit\u00e0 arriva in un momento in cui la sicurezza dei pannelli di controllo hosting \u00e8 sotto i riflettori. Come ho scritto nel mio articolo sulla <a href=\"https:\/\/darioiannascoli.it\/blog\/protezione-wordpress-vulnerabilita-plugin-virtual-patching-patchstack-waf-monitoraggio-cve\/\">protezione WordPress con virtual patching e monitoraggio CVE<\/a>, il monitoraggio proattivo delle vulnerabilit\u00e0 \u00e8 diventato imprescindibile.<\/p>\n<p>Chi gestisce server con Plesk dovrebbe implementare un <strong>Vulnerability Disclosure Program<\/strong> strutturato \u2014 ne ho parlato approfonditamente nell&#8217;articolo dedicato al <a href=\"https:\/\/darioiannascoli.it\/blog\/vulnerability-disclosure-program-wordpress-plugin-cyber-resilience-act-2026\/\">VDP e al Cyber Resilience Act<\/a>. Inoltre, l&#8217;adozione di <a href=\"https:\/\/darioiannascoli.it\/blog\/soc-autonomi-threat-prediction-ai-preemptive-cybersecurity-2026\/\">SOC autonomi con AI per threat prediction<\/a> pu\u00f2 aiutare a identificare tentativi di exploitation prima che vadano a buon fine.<\/p>\n<p>In ambienti multi-tenant come quelli gestiti con Plesk, una singola vulnerabilit\u00e0 di <em>privilege escalation<\/em> pu\u00f2 avere effetti catastrofici: accesso ai database di tutti i clienti, possibilit\u00e0 di installare backdoor persistenti, manipolazione dei certificati SSL e, nel caso peggiore, utilizzo del server come punto di partenza per attacchi laterali all&#8217;interno dell&#8217;infrastruttura.<\/p>\n<h2>Checklist Rapida Post-Incident<\/h2>\n<p>Ecco la checklist che ho seguito e che consiglio a tutti gli amministratori Plesk:<\/p>\n<ol>\n<li><strong>Verificare la versione<\/strong> con <code>plesk version<\/code><\/li>\n<li><strong>Eseguire il backup<\/strong> prima di aggiornare<\/li>\n<li><strong>Applicare il micro-update<\/strong> alla 18.0.73.5 o 18.0.74.2+<\/li>\n<li><strong>Controllare i log<\/strong> per segni di sfruttamento pregresso<\/li>\n<li><strong>Rivedere i permessi utente<\/strong> applicando il principio del minimo privilegio<\/li>\n<li><strong>Verificare la protezione symlink<\/strong> nella configurazione Apache<\/li>\n<li><strong>Abilitare gli auto-update<\/strong> per i micro-update di sicurezza<\/li>\n<li><strong>Documentare l&#8217;intervento<\/strong> nel registro di manutenzione del server<\/li>\n<\/ol>\n<h2>FAQ<\/h2>\n<h3>La CVE-2025-66431 pu\u00f2 essere sfruttata da remoto senza un account Plesk?<\/h3>\n<p>No. La vulnerabilit\u00e0 richiede un account Plesk autenticato con permessi specifici (creazione e gestione siti, gestione domini e sottodomini). Tuttavia, in ambienti di hosting condiviso, qualsiasi cliente con un account standard potrebbe potenzialmente disporre di questi permessi, rendendo la superficie d&#8217;attacco pi\u00f9 ampia di quanto si potrebbe pensare.<\/p>\n<h3>Ho Plesk su Windows: sono vulnerabile?<\/h3>\n<p>No. La CVE-2025-66431 affligge esclusivamente le installazioni Plesk su <strong>Linux<\/strong>. La vulnerabilit\u00e0 \u00e8 legata alla gestione dei <em>symbolic link<\/em> UNIX (CWE-61), un meccanismo specifico dei sistemi operativi Unix-like. Se utilizzate Plesk su Windows, non siete interessati da questa specifica falla.<\/p>\n<h3>Come posso sapere se il mio server \u00e8 gi\u00e0 stato compromesso?<\/h3>\n<p>Controllate i log di Plesk (<code>\/var\/log\/plesk\/panel.log<\/code>) cercando creazioni di domini anomale, specialmente con nomi insoliti o da account che normalmente non creano domini. Verificate anche i log di sistema (<code>\/var\/log\/auth.log<\/code>) per accessi sospetti e controllate la presenza di file inattesi nelle directory di sistema. In caso di dubbio, eseguite una scansione con <em>rkhunter<\/em> o <em>chkrootkit<\/em> e considerate un audit di sicurezza approfondito.<\/p>\n<h3>Devo aggiornare anche se ho un singolo sito senza clienti esterni?<\/h3>\n<p>Assolutamente s\u00ec. Anche se gestite un solo sito, qualsiasi account con accesso a Plesk \u2014 incluso il vostro \u2014 potrebbe essere compromesso tramite phishing, credential stuffing o altre tecniche. Inoltre, la CVE-2025-66430 (corretta nello stesso aggiornamento) sfrutta le directory protette da password, una funzionalit\u00e0 comunemente utilizzata anche su server con un singolo sito.<\/p>\n<h3>L&#8217;aggiornamento causa downtime al server o ai siti ospitati?<\/h3>\n<p>I micro-update di Plesk sono progettati per essere applicati senza downtime significativo. Nella mia esperienza, il processo richiede pochi minuti e l&#8217;interfaccia web di Plesk potrebbe risultare brevemente non raggiungibile, ma i siti web ospitati continuano a funzionare normalmente durante l&#8217;aggiornamento. Consiglio comunque di pianificare l&#8217;operazione in un orario di basso traffico per precauzione.<\/p>\n<h2>Conclusione<\/h2>\n<p>La <strong>CVE-2025-66431<\/strong> \u00e8 un promemoria severo che anche i pannelli di controllo pi\u00f9 diffusi possono nascondere vulnerabilit\u00e0 critiche. Un difetto nella gestione dei <em>symlink<\/em> durante la creazione dei domini, combinato con i privilegi root del processo Plesk, ha creato una finestra di attacco che potrebbe consentire la compromissione totale del server.<\/p>\n<p>Il messaggio \u00e8 chiaro: <strong>aggiornate subito<\/strong>. Se usate Plesk su Linux, verificate immediatamente la vostra versione e applicate il micro-update alla 18.0.73.5 o 18.0.74.2. Non aspettate. Non rimandate. Una vulnerabilit\u00e0 di esecuzione codice come root non \u00e8 qualcosa su cui si pu\u00f2 procrastinare.<\/p>\n<p>Ho protetto i miei server nel giro di minuti dall&#8217;uscita dell&#8217;advisory, e vi consiglio di fare altrettanto. Se avete dubbi sulla procedura o volete condividere la vostra esperienza con questa vulnerabilit\u00e0, lasciate un commento qui sotto \u2014 confrontarsi tra colleghi \u00e8 sempre il modo migliore per migliorare le nostre difese.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Come verifico e correggo la CVE-2025-66431 su Plesk Linux: vulnerabilit\u00e0 critica nel meccanismo di creazione domini che consente esecuzione codice come root.<\/p>\n","protected":false},"author":1,"featured_media":1624,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"CVE-2025-66431 Plesk: Patch Vulnerabilit\u00e0 Root Creazione Domini","_seopress_titles_desc":"Guida completa alla CVE-2025-66431 Plesk: come verifico la versione, applico la patch e proteggo il server dalla vulnerabilit\u00e0 critica di esecuzione codice root.","_seopress_robots_index":"","footnotes":""},"categories":[4],"tags":[513,515,516,116,514,118],"class_list":["post-1623","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-plesk","tag-cve-2025-66431","tag-linux-security","tag-patch-management","tag-plesk","tag-privilege-escalation","tag-sicurezza-server"],"_links":{"self":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1623","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/comments?post=1623"}],"version-history":[{"count":0,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/posts\/1623\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media\/1624"}],"wp:attachment":[{"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/media?parent=1623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/categories?post=1623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/darioiannascoli.it\/blog\/wp-json\/wp\/v2\/tags?post=1623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}