CVE-2026-44962
CVE-2026-44962
Em resumo
A funcionalidade de busca de aplicativos do Plesk não filtra corretamente a entrada do usuário antes de usá-la em consultas, permitindo que um usuário comum execute comandos no servidor e eleve seus privilégios.
Detalhe técnico
Injeção XPath no catálogo de aplicativos APS permite que usuários autenticados com baixos privilégios manipulem consultas XPath através de entrada não sanitizada, viabilizando execução arbitrária de comandos do SO e escalonamento de privilégios local.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
WebPros · PleskQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →