CVE-2026-44962
CriticalSummary
Plesk zawiera podatność na wstrzykiwanie XPath w funkcjonalności wyszukiwania katalogu aplikacji APS, gdzie dane wejściowe dostarczone przez użytkownika są interpolowane do zapytań XPath bez odpowiedniej sanitizacji. Umożliwia to uwierzytelnionemu, nisko uprzywilejowanemu użytkownikowi wykonanie dowolnych poleceń systemu operacyjnego na serwerze, co prowadzi do eskalacji uprawnień lokalnych.
Risk Assessment
Podatność ta stwarza ryzyko dla organizacji, ponieważ nisko uprzywilejowani użytkownicy mogą uzyskać dostęp do krytycznych funkcji systemu, co może prowadzić do nieautoryzowanych działań i naruszenia bezpieczeństwa. Eskalacja uprawnień może skutkować poważnymi konsekwencjami dla integralności i poufności danych.
Recommendation
Zaleca się aktualizację Pleska do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wdrożyć odpowiednie kontrole dostępu, aby ograniczyć możliwości nisko uprzywilejowanych użytkowników.
Original NVD description (English source)
Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.

