Plesk zawiera podatność typu XPath injection w funkcji wyszukiwania katalogu aplikacji APS, pozwalającą uwierzytelnionemu użytkownikowi z niskimi uprawnieniami na wykonanie dowolnych poleceń systemowych na serwerze. Podatność otrzymała ocenę CVSS 9.9, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.
Dane wejściowe dostarczone przez użytkownika są wstawiane bezpośrednio do zapytań XPath bez odpowiedniej sanityzacji (CWE-643). Atakujący może spreparować złośliwe zapytanie w polu wyszukiwania katalogu APS, które zostanie zinterpretowane przez silnik XPath w niezamierzony sposób. W rezultacie możliwe jest wykonanie dowolnych poleceń systemu operacyjnego na serwerze, prowadząc do local privilege escalation.
Uwierzytelniony użytkownik z niskimi uprawnieniami może wykonać dowolne polecenia systemowe na serwerze i uzyskać wyższy poziom uprawnień (privilege escalation), co w praktyce może skutkować pełnym przejęciem kontroli nad systemem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://support.plesk.com/hc/en-us/articles/38633651286679-Vulnerability-CVE-2026-44962-in-Plesk-s-APS-Catalog
Plesk — wersje wskazane w referencjach producenta (funkcja wyszukiwania katalogu aplikacji APS)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H