CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-44962

Critical
Published: Translated: NVD NIST

Summary

Plesk zawiera podatność na wstrzykiwanie XPath w funkcjonalności wyszukiwania katalogu aplikacji APS, gdzie dane wejściowe dostarczone przez użytkownika są interpolowane do zapytań XPath bez odpowiedniej sanitizacji. Umożliwia to uwierzytelnionemu, nisko uprzywilejowanemu użytkownikowi wykonanie dowolnych poleceń systemu operacyjnego na serwerze, co prowadzi do eskalacji uprawnień lokalnych.

Risk Assessment

Podatność ta stwarza ryzyko dla organizacji, ponieważ nisko uprzywilejowani użytkownicy mogą uzyskać dostęp do krytycznych funkcji systemu, co może prowadzić do nieautoryzowanych działań i naruszenia bezpieczeństwa. Eskalacja uprawnień może skutkować poważnymi konsekwencjami dla integralności i poufności danych.

Recommendation

Zaleca się aktualizację Pleska do najnowszej wersji, która zawiera poprawki zabezpieczeń. Dodatkowo, warto wdrożyć odpowiednie kontrole dostępu, aby ograniczyć możliwości nisko uprzywilejowanych użytkowników.

Original NVD description (English source)

Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS