オープンリダイレクト(または未検証のリダイレクトと転送) とは、URL のリダイレクトに関する脆弱性です。攻撃者はこの脆弱性を悪用することで、信頼できるウェブサイトから潜在的に悪質なサードパーティウェブサイトにユーザを誘導し、フィッシング攻撃でユーザのクレデンシャルを盗むことができます。この脆弱性から防御するには、Plesk で URL リダイレクトを禁止するように構成することをお勧めします。

The vulnerability is made possible by the success_redirect_url and failure_redirect_url parameters, which are used when you set up automated logging in to Plesk. The success_redirect_url parameter contains one or more hostnames to which a user is redirected after a successful login, while failure_redirect_url—after a failed login attempt or logging out.

The vulnerability can affect all Plesk servers, regardless of whether automatic logging in to Plesk has been set up or not. To protect against it, you need to add an entry to the panel.ini file. The exact entry varies depending on whether automatic logging in to Plesk has been set up.

Plesk への自動ログインをセットアップしていない場合に Plesk をオープンリダイレクトから保護するには:

panel.ini ファイルに以下の行を追加します。

[security]
trustedRedirectHosts =

The trustedRedirectHosts line is empty and no hostnames are specified. This way you forbid Plesk from redirecting to any hostnames using the success_redirect_url and failure_redirect_url parameters.

Plesk への自動ログインをセットアップしている場合に Plesk をオープンリダイレクトから保護するには:

以下のパターンに従って panel.ini ファイルにエントリを追加します。

[security]
trustedRedirectHosts = hostname

Where hostname is a trustworthy hostname to which you allow URL redirection via the success_redirect_url and failure_redirect_url parameters.

trustedRedirectHosts の設定には、以下のフォーマットでホスト名を 1 つ指定するか、複数のホスト名をコンマ区切りで指定できます。

  • ドメイン名(例: example.com
  • An IP address, for example 192.0.2.1
  • ワイルドカードサブドメイン(例: *.example.com

注釈: When specifying hostnames in trustedRedirectHosts, only use the asterisk (*) character following the pattern shown above (*.example.com). Otherwise, your server may remain vulnerable. For example, the hostnames example.* or 192.0.2.* are insecure because they can match example.maliciouswebsite.com and 192.0.2.maliciouswebsite.com, respectively.

以下は、panel.ini ファイルの有効な trustedRedirectHosts 設定の例です。

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

Where example.com, 192.0.2.1, *.example.com are hostnames used in the success_redirect_url and failure_redirect_url parameters.

注釈: trustedRedirectHosts に複数のホスト名を指定するときは、ホスト名を区切るコンマ(,)の前後にスペース()文字を追加しないでください。追加すると、ホスト名が正しく処理されず、URL リダイレクトが失敗します。