Open Redirect (également connu comme redirections et transferts non validés) est une vulnérabilité de redirection URL. Un attaquant peut exploiter cette faille afin de rediriger les utilisateurs depuis un site Web de confiance vers un site Web tiers potentiellement malveillant et ainsi voler ses identifiants grâce à une attaque par phishing. Pour vous protéger contre cette vulnérabilité, nous vous recommandons de configurer Plesk afin de restreindre la redirection d’URL.

The vulnerability is made possible by the success_redirect_url and failure_redirect_url parameters, which are used when you set up automated logging in to Plesk. The success_redirect_url parameter contains one or more hostnames to which a user is redirected after a successful login, while failure_redirect_url—after a failed login attempt or logging out.

The vulnerability can affect all Plesk servers, regardless of whether automatic logging in to Plesk has been set up or not. To protect against it, you need to add an entry to the panel.ini file. The exact entry varies depending on whether automatic logging in to Plesk has been set up.

Pour protéger Plesk contre une redirection ouverte lorsque la connexion automatique à Plesk n’est pas configurée :

Ajoutez les lignes suivantes au fichier panel.ini :

[security]
trustedRedirectHosts =

The trustedRedirectHosts line is empty and no hostnames are specified. This way you forbid Plesk from redirecting to any hostnames using the success_redirect_url and failure_redirect_url parameters.

Pour protéger Plesk contre une redirection ouverte lorsque la connexion automatique à Plesk est configurée :

Ajoutez une entrée au fichier panel.ini en respectant la structure suivante :

[security]
trustedRedirectHosts = hostname

Where hostname is a trustworthy hostname to which you allow URL redirection via the success_redirect_url and failure_redirect_url parameters.

Le paramètre trustedRedirectHosts accepte un ou plusieurs noms d’hôtes séparés par des virgules et spécifiés au format suivant :

  • Un nom de domaine, par exemple : exemple.com
  • An IP address, for example 192.0.2.1
  • Des sous-domaines génériques, par exemple *.exemple.com

Note: When specifying hostnames in trustedRedirectHosts, only use the asterisk (*) character following the pattern shown above (*.example.com). Otherwise, your server may remain vulnerable. For example, the hostnames example.* or 192.0.2.* are insecure because they can match example.maliciouswebsite.com and 192.0.2.maliciouswebsite.com, respectively.

Voici un exemple valide du paramètre trustedRedirectHosts dans le fichier panel.ini :

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

Where example.com, 192.0.2.1, *.example.com are hostnames used in the success_redirect_url and failure_redirect_url parameters.

Note: lorsque vous indiquez plusieurs noms d’hôtes dans trustedRedirectHosts, n’ajoutez pas d’espace ( ) avant ou après la virgule (,) pour séparer les noms d’hôtes. En effet, s’il y a un espace, le nom d’hôte n’est pas traité correctement et la redirection de l’URL échoue.