Plesk: kritische Schwachstelle geschlossen

Angreifende können über diese XPath-Injection-Lücke manipulierte Anfragen stellen und Betriebssystembefehle auf dem Server ausführen. Dadurch ist die Erweiterung der Berechtigungen möglich, was zu administrativem Zugriff führen kann. Dies gefährdet die Integrität des Servers.

Die Schwachstelle befindet sich in der Suchfunktion des APS Application Catalog, wo Benutzer-Input unzureichend validiert wird. Die Kennung der Lücke lautet CVE-2026-44962 (EUVD-2026-33344), der CVSS-Score beträgt je nach Quelle 9.9/10 oder 10/10.

Dies berichten der Hersteller und verschiedene Medien.

Plesk ist eine browsergestützte Verwaltungssoftware für Webserver und Webhosting. Der Einsatz ist sowohl auf Linux als auch auf Windows möglich. Plesk gehört zu den weltweit am weitesten verbreiteten Webhosting-Tools. Die Angriffsfläche ist entsprechend groß.

• Installieren Sie zeitnah Plesk-Version 18.0.75.1 oder 18.0.76.2, in denen die Schwachstelle behoben ist.
• Wenn Sie nicht aktualisieren können, deaktivieren Sie den APS Application Catalog (enabled = off).

Ab Version 18.0.77 ist der APS Application Catalog nicht mehr in Plesk enthalten.