El redireccionamiento abierto (también denominado redireccionamientos y reenvíos no validados) suponen una vulnerabilidad de redireccionamiento de URLs. Un atacante puede redireccionar a los usuarios de un sitio web de confianza a uno potencialmente malicioso perteneciente a terceros y posteriormente robar sus credenciales mediante ataques de phishing. Para protegerse frente a esta vulnerabilidad, le recomendamos configurar Plesk para restringir el redireccionamiento de URLs.

The vulnerability is made possible by the success_redirect_url and failure_redirect_url parameters, which are used when you set up automated logging in to Plesk. The success_redirect_url parameter contains one or more hostnames to which a user is redirected after a successful login, while failure_redirect_url—after a failed login attempt or logging out.

The vulnerability can affect all Plesk servers, regardless of whether automatic logging in to Plesk has been set up or not. To protect against it, you need to add an entry to the panel.ini file. The exact entry varies depending on whether automatic logging in to Plesk has been set up.

Para impedir posibles redireccionamientos abiertos en Plesk si no ha configurado el inicio de sesión automático, haga lo siguiente:

Añada las siguientes líneas al archivo panel.ini:

[security]
trustedRedirectHosts =

The trustedRedirectHosts line is empty and no hostnames are specified. This way you forbid Plesk from redirecting to any hostnames using the success_redirect_url and failure_redirect_url parameters.

Para impedir posibles redireccionamientos abiertos en Plesk si ha configurado el inicio de sesión automático, haga lo siguiente:

Añada una entrada al archivo panel.ini conforme al siguiente patrón:

[security]
trustedRedirectHosts = hostname

Where hostname is a trustworthy hostname to which you allow URL redirection via the success_redirect_url and failure_redirect_url parameters.

El parámetro trustedRedirectHosts acepta uno o más nombres de host separados por comas y especificados en el formato que se muestra a continuación:

  • Un nombre de dominio, como por ejemplo example.com
  • An IP address, for example 192.0.2.1
  • Subdominios wildcard, como por ejemplo *.example.com

Nota: When specifying hostnames in trustedRedirectHosts, only use the asterisk (*) character following the pattern shown above (*.example.com). Otherwise, your server may remain vulnerable. For example, the hostnames example.* or 192.0.2.* are insecure because they can match example.maliciouswebsite.com and 192.0.2.maliciouswebsite.com, respectively.

A continuación puede ver un ejemplo válido del parámetro trustedRedirectHosts en el archivo panel.ini:

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

Where example.com, 192.0.2.1, *.example.com are hostnames used in the success_redirect_url and failure_redirect_url parameters.

Nota: cuando especifique más de un nombre de host en trustedRedirectHosts, no añada espacios en blanco antes o después de la coma que separa los nombres de host. De hacerlo, el nombre de host no se gestionará correctamente y no se podrá efectuar el redireccionamiento de URL.