CVE-2026-44962
CVE-2026-44962
En resumen
La función de búsqueda de aplicaciones de Plesk no filtra correctamente la entrada del usuario antes de usarla en consultas, permitiendo que un usuario común ejecute comandos en el servidor y eleve sus privilegios.
Detalle técnico
Inyección XPath en el catálogo de aplicaciones APS permite que usuarios autenticados con bajos privilegios manipulen consultas XPath mediante entrada sin sanear, posibilitando ejecución arbitraria de comandos del SO y escalada de privilegios local.
Resumen generado y traducido por IA a partir de la descripción oficial.
Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
WebPros · Plesk¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →