Plesk - CVE-2026-44962
Date de publication :
Il s'agit d'une vulnérabilité d'injection XPath dans le composant APS Application Catalog de Plesk.
Plesk est un panneau de contrôle d'hébergement web destiné aux administrateurs de serveurs Linux et Windows. Il permet la gestion centralisée de sites web, de bases de données, de certificats SSL et de comptes d'hébergement via une interface web.
Le champ de recherche incorpore directement l'entrée utilisateur dans des requêtes XPath sans assainissement préalable. Un attaquant authentifié avec de faibles privilèges peut forger une entrée malveillante qui manipule la structure de la requête et déclenche l'exécution de commandes système arbitraires sur le serveur sous-jacent. Le changement de scope reflète le fait que l'impact dépasse le contexte applicatif Plesk pour atteindre le système hôte.
Elle permet à un utilisateur à faibles privilèges d'obtenir une élévation de privilèges jusqu'au niveau root sur le serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance)
Exploitation
CWE-643 : Improper Neutralization of Data within XPath Expressions ('XPath Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Plesk pour Linux versions antérieures à 18.0.75.1 et antérieures à 18.0.76.2
Contournement provisoire
Solutions ou recommandations
• Plesk Obsidian version 18.0.76.2 et supérieures (branche 18.0.76)