Descoberta e escopo da vulnerabilidade
Uma nova vulnerabilidade crítica no software de gerenciamento de hospedagem Plesk, rastreada como CVE-2026-44962, está levantando sérias preocupações de segurança após pesquisadores confirmarem que ela permite que usuários autenticados executem comandos arbitrários do sistema operacional nos servidores afetados. A falha foi publicada no National Vulnerability Database e no GitHub Advisory Database, afetando o componente APS Application Catalog.
A vulnerabilidade foi atribuída uma pontuação CVSS crítica devido ao seu alto impacto na confidencialidade, integridade e disponibilidade. O problema decorre de uma falha de injeção XPath na funcionalidade de pesquisa do APS Catalog, onde a entrada fornecida pelo usuário não é tratada adequadamente e incorporada diretamente em consultas XPath sem sanitização adequada.
Mecanismo técnico e escalonamento de privilégios
Especificamente, a entrada fornecida pelo usuário é manipulada incorretamente e incorporada diretamente em consultas XPath sem sanitização adequada. Esta fraqueza, categorizada sob CWE-643, permite que atacantes manipulem a lógica de consulta e controlem como os dados são recuperados do armazenamento baseado em XML.
Na prática, um usuário autenticado de baixa privilégio pode explorar esta falha para escalar privilégios e executar comandos arbitrários no servidor subjacente. Como o ataque requer apenas acesso à rede e privilégios mínimos e não depende de interação do usuário, isso reduz significativamente a barreira para exploração em ambientes reais.
A vulnerabilidade também opera com um escopo alterado, o que significa que pode impactar recursos além de sua fronteira de segurança original. Pesquisadores de segurança notam que vulnerabilidades de injeção XPath são particularmente perigosas em aplicações web que dependem de processamento de dados XML.
Patch e medidas de mitigação
A Plesk reconheceu o problema e lançou versões corrigidas para abordar a falha. A vulnerabilidade foi corrigida nas versões Plesk 18.0.76.2 e 18.0.75.1, que foram disponibilizadas no final de fevereiro de 2026. Os usuários são fortemente aconselhados a atualizar suas instalações imediatamente para mitigar o risco de exploração.
Para ambientes onde a atualização imediata não é viável, a Plesk forneceu uma solução temporária. Administradores podem desativar a funcionalidade APS Catalog modificando o arquivo de configuração do painel em /usr/local/psa/admin/conf/panel.ini. Embora isso reduza a exposição, não é um substituto para aplicar a atualização de segurança oficial.
Impacto em ambientes de hospedagem
Organizações que utilizam Plesk, particularmente em ambientes de hospedagem compartilhada ou multi-tenant, devem tratar esta vulnerabilidade como prioridade. A execução arbitrária de comandos em servidores de hospedagem pode levar ao comprometimento de múltiplos sites e clientes hospedados na mesma instância.
A revisão de controle de acesso e monitoramento de atividade suspeita de execução de comandos são passos críticos para prevenir o comprometimento potencial. A vulnerabilidade destaca os riscos contínuos de manipulação inadequada de entrada em aplicações web e reforça a importância de práticas de codificação segura.
Divulgação responsável e colaboração
A vulnerabilidade foi divulgada de forma responsável pelo pesquisador de segurança Georgii Shutiaev, que colaborou com a Plesk para garantir a remediação coordenada. No momento da publicação, não há evidências públicas de exploração ativa. No entanto, dada a simplicidade do ataque e seu alto impacto, atores de ameaças podem rapidamente armá-lo.
A atualização imediata, revisão de controle de acesso e monitoramento para atividade suspeita de execução de comandos são passos críticos para prevenir o comprometimento potencial. A revisão de logs de administração do Plesk pode revelar tentativas de exploração da funcionalidade APS Catalog.