Open Redirect (auch bekannt als nicht validierte Um- und Weiterleitungen) ist eine Sicherheitslücke bei URL-Weiterleitungen. Ein Angreifer kann diese Lücke ausnutzen, um Benutzer von einer vertrauenswürdigen Website auf eine potenziell bösartige Drittanbieter-Website umzuleiten und dabei über einen Phishing-Angriff ihre Anmeldeinformationen zu stehlen. Um sich gegen diese Sicherheitslücke zu schützen, wird empfohlen, Plesk so zu konfigurieren, dass URL-Weiterleitungen nur eingeschränkt möglich sind.

The vulnerability is made possible by the success_redirect_url and failure_redirect_url parameters, which are used when you set up automated logging in to Plesk. The success_redirect_url parameter contains one or more hostnames to which a user is redirected after a successful login, while failure_redirect_url—after a failed login attempt or logging out.

The vulnerability can affect all Plesk servers, regardless of whether automatic logging in to Plesk has been set up or not. To protect against it, you need to add an entry to the panel.ini file. The exact entry varies depending on whether automatic logging in to Plesk has been set up.

So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk nicht eingerichtet haben:

Fügen Sie die folgenden Zeilen zur Datei panel.ini hinzu:

[security]
trustedRedirectHosts =

The trustedRedirectHosts line is empty and no hostnames are specified. This way you forbid Plesk from redirecting to any hostnames using the success_redirect_url and failure_redirect_url parameters.

So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk eingerichtet haben:

Fügen Sie nach folgendem Muster einen Eintrag zur Datei panel.ini hinzu:

[security]
trustedRedirectHosts = hostname

Where hostname is a trustworthy hostname to which you allow URL redirection via the success_redirect_url and failure_redirect_url parameters.

Die Einstellung trustedRedirectHosts akzeptiert einen oder mehrere Hostnamen, wenn sie durch Kommas voneinander abgetrennt und in folgendem Format eingegeben werden:

  • Ein Domainname, wie zum Beispiel beispiel.com
  • An IP address, for example 192.0.2.1
  • Wildcard-Subdomains, wie zum Beispiel *.beispiel.com

Bemerkung: When specifying hostnames in trustedRedirectHosts, only use the asterisk (*) character following the pattern shown above (*.example.com). Otherwise, your server may remain vulnerable. For example, the hostnames example.* or 192.0.2.* are insecure because they can match example.maliciouswebsite.com and 192.0.2.maliciouswebsite.com, respectively.

Hier finden Sie ein gültiges Beispiel der Einstellung trustedRedirectHosts in der Datei panel.ini:

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

Where example.com, 192.0.2.1, *.example.com are hostnames used in the success_redirect_url and failure_redirect_url parameters.

Bemerkung: Wenn Sie verschiedene Hostnamen in trustedRedirectHosts festlegen, sollten Sie vor oder nach dem Komma (,), das Hostnamen voneinander trennt, kein Leerzeichen ( ) setzen. Anderenfalls wird der Hostname nicht korrekt gehandhabt und die URL-Weiterleitung schlägt fehl.