В панели управления веб-хостингом Plesk обнаружена критическая уязвимость, которая вызывает серьёзную тревогу у специалистов по информационной безопасности. Исследователи подтвердили, что пользователи с минимальными правами могут выполнять произвольные команды на атакуемых серверах. Этот инцидент особенно важен для компаний, предоставляющих услуги хостинга, а также для организаций, использующих Plesk в мультитенантных средах, где несколько клиентов работают на одной платформе.
Уязвимость CVE-2026-44962
Уязвимость получила идентификатор CVE-2026-44962. Она затрагивает версии Plesk для операционной системы Linux. Причина проблемы связана с некорректной обработкой вводимых данных в функции поиска APS Application Catalog (каталога приложений). Информация об этой уязвимости была опубликована в базе данных консультаций GitHub и в настоящее время находится на рассмотрении. Однако её потенциал для локального повышения привилегий делает её крайне опасной в реальных условиях эксплуатации.
Корень проблемы кроется в уязвимости типа XPath injection (внедрение команд в XPath-запросы, язык запросов к XML-документам) внутри функции поиска APS. Согласно опубликованному консультативному сообщению, данные, поступающие от пользователя, напрямую встраиваются в XPath-запросы без достаточной проверки и очистки. Это неправильное проектирование позволяет аутентифицированным пользователям с минимальными привилегиями манипулировать внутренними запросами и внедрять вредоносную полезную нагрузку.
Эксплуатируя эту уязвимость, злоумышленник может выйти за пределы предполагаемой логики запроса и выполнить произвольные команды операционной системы на атакуемом сервере. Фактически это превращает пользователя с ограниченным доступом в того, кто способен совершать привилегированные действия. В результате возникает локальное повышение привилегий. В средах общего хостинга или мультитенантных системах это значительно увеличивает риск латерального перемещения и полной компрометации сервера.
Специалисты по безопасности подчёркивают, что уязвимости типа XPath injection часто остаются в тени по сравнению с SQL-инъекциями. Однако они могут быть столь же опасными, если связаны с механизмами внутренней обработки данных. В случае с CVE-2026-44962 уязвимость напрямую затрагивает административную функциональность, что усиливает её влияние за пределы типичных атак на уровне пользователей.
На момент публикации консультативного сообщения конкретные уязвимые версии не были указаны. Однако компания Plesk подтвердила, что исправленные версии были выпущены 24 и 25 февраля 2026 года. Речь идёт о сборках Plesk 18.0.76.2 и 18.0.75.1. Пользователей настоятельно призывают немедленно выполнить обновление. Учитывая широкое распространение Plesk в средах веб-хостинга и облачных платформ, эта уязвимость представляет значительную угрозу для серверов, которые остаются незаплатченными. Злоумышленники часто сканируют сети в поисках подобных слабых мест вскоре после публикации информации, поэтому задержка с устранением проблемы становится критическим фактором риска.
Для организаций, которые не могут немедленно установить обновление, Plesk предоставил временную меру защиты. Администраторы могут отключить уязвимую функциональность APS, изменив конфигурационный файл панели, расположенный по пути /usr/local/psa/admin/conf/panel.ini. Для этого необходимо добавить соответствующую запись конфигурации, отключающую поддержку APS. Однако важно понимать, что это лишь временное решение, которое снижает уровень угрозы, но не устраняет её полностью. Данную меру следует использовать только краткосрочно.
Уязвимость была ответственно раскрыта исследователем безопасности Георгием Шутаевым, который координировал свои действия с командой Plesk для выпуска исправлений. Быстрая реакция вендора подчёркивает серьёзность проблемы и важность своевременных обновлений. В результате этого инцидента организации должны в приоритетном порядке устанавливать патчи, отслеживать подозрительную активность в своих системах и пересматривать механизмы контроля доступа, чтобы минимизировать возможность эксплуатации.
По мере того как киберпреступники продолжают атаковать панели управления веб-хостингом, уязвимости вроде CVE-2026-44962 усиливают необходимость строгой проверки вводимых данных, применения безопасных практик разработки и проактивного управления уязвимостями в серверной инфраструктуре. Это напоминание о том, что даже привычные инструменты администрирования могут стать слабым звеном, если не уделять должного внимания их безопасности.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-44962
- https://support.plesk.com/hc/en-us/articles/38633651286679-Vulnerability-CVE-2026-44962-in-Plesk-s-APS-Catalog
