Uma vulnerabilidade crítica no painel Plesk para Linux (CVE-2026-44962) permite que usuários com baixos privilégios executem comandos arbitrários no servidor via injeção XPath no APS Application Catalog. A falha ameaça ambientes de hospedagem compartilhada, onde um único cliente pode comprometer todos os domínios do servidor. Correções foram lançadas em fevereiro de 2026 nas versões 18.0.75.1 e 18.0.76.2.
O que é a falha CVE-2026-44962
O painel de controle Plesk para Linux possui uma vulnerabilidade de injeção XPath na funcionalidade de busca do APS Application Catalog. Entradas controladas pelo usuário são incorporadas diretamente em consultas XPath sem sanitização suficiente. Usuários com baixos privilégios — como contas de cliente em hospedagem compartilhada — podem manipular essas consultas para escapar da lógica prevista e executar comandos arbitrários no sistema operacional do servidor.
A vulnerabilidade foi descoberta por Georgii Shutiaev via disclosure responsável e publicada como advisory no GitHub. O Plesk lançou correções nas versões 18.0.76.2 e 18.0.75.1 em fevereiro de 2026.
Ambientes mais afetados
| Fator de risco | Detalhe |
|---|---|
| Vetor | Injeção XPath na busca do APS Catalog |
| Pré-requisito | Usuário autenticado com privilégios baixos |
| Impacto | Execução de comandos OS + escalação de privilégio |
| Produtos afetados | Plesk para Linux (antes de 18.0.75.1 / 18.0.76.2) |
| Maiores riscos | Hospedagem compartilhada e ambientes multi-tenant |
Injeção XPath é frequentemente negligenciada em comparação com SQL injection, mas neste caso o impacto é igualmente grave. O atacante autenticado consegue escalar de uma conta de cliente limitada para controle total do servidor — incluindo acesso a dados de outros tenants, e-mail, bancos de dados e configurações do sistema.
Escalação e movimento lateral
Após obter execução de comandos, o atacante pode instalar backdoors, exfiltrar credenciais de todos os domínios hospedados e mover-se lateralmente para outros servidores na mesma rede. Em data centers que gerenciam centenas de contas por servidor, uma única vulnerabilidade explorada compromete dezenas de negócios simultaneamente. A prova de conceito foi publicada no GitHub Advisory GHSA-2785-qq7p-x3cj.
Como mitigar imediatamente
Atualize o Plesk para a versão 18.0.76.2 ou 18.0.75.1 imediatamente. Se a atualização não for possível no curto prazo, desative o APS Catalog adicionando a entrada correspondente no arquivo /usr/local/psa/admin/conf/panel.ini. Revise logs de acesso do painel em busca de payloads de injeção XPath na funcionalidade de busca e audite permissões de usuários com baixos privilégios. Monitore processos filhos inesperados originados do processo do Plesk.