世界で最も広く普及しているウェブホスティングコントロールパネルの一つ、WebProsのPleskに重大なセキュリティ欠陥が発見されました。この脆弱性により、認証済みの低特権攻撃者が任意のOSコマンドを実行し、サーバを完全に掌握できる可能性があります。
CVE-2026-44962として追跡されるこの脆弱性には、CVSS 3.1スコアで最高値となる10.0が付与されており、世界中のLinuxホスティング環境に対する深刻なリスクが浮き彫りになっています。
この脆弱性は、PleskのAPSアプリケーションカタログ検索機能に存在します。ユーザーが入力した値が、適切なサニタイズ処理なしにXPathクエリへ直接埋め込まれることが問題の根本です。
CWE-643(XPath式内のデータの不適切な無効化)に分類されるこの欠陥は、SQLインジェクションと類似したインジェクション系の脆弱性であり、XMLベースのデータストアを標的とするものです。
悪意ある検索入力を細工することで、攻撃者はXPathクエリの構造そのものを操作し、アプリケーションのロジックを回避して不正なシステムレベルの操作を引き起こすことができます。
この脆弱性は2026年5月29日に正式に公開されており、協調的なバグバウンティ開示プログラムを通じて報告されたことが示されています。
この攻撃はネットワーク越しに完全に実行可能で、ユーザーの操作を必要とせず、攻撃の複雑さも低く、低特権の認証済みセッションさえあれば十分です。つまり、通常のホスティングアカウントを持つユーザーであれば誰でも条件を満たすと、Pleskは説明しています。
悪用に成功すると、任意のOSコマンドの実行とローカルでの完全な権限昇格が可能となり、機密性・完全性・可用性のいずれも「高」と評価されています。また、この脆弱性はLinux版Pleskにおける憂慮すべき問題の連鎖を示すものでもあります。
数か月前に開示された以前の重大な脆弱性であるCVE-2025-66430では、「パスワード保護ディレクトリ」機能を通じて同様の権限昇格経路が露呈しており、攻撃者がApache設定ファイルにデータを注入してroot権限を取得できる可能性がありました。
この脆弱性は、APSカタログ機能が有効なすべてのLinux版Pleskインストールに影響します。Pleskチームは迅速に対応し、修正済みバージョンが2026年2月24〜25日にリリースされました。
管理者はPleskの組み込みアップデーターを使用して、直ちにアップデートを適用してください。手順については公式のHow to Install Plesk Updatesガイドをご参照ください。
即時パッチ適用が困難な環境では、Pleskは緩和措置としてAPSカタログ機能を一時的に無効化することを推奨しています。これは、/usr/local/psa/admin/conf/panel.iniに以下の設定ブロックを追加し、Pleskサービスを再起動することで実行できます。
これにより脆弱な検索モジュールが完全に無効化され、完全なアップグレードが適用されるまでの間、アクティブな攻撃対象領域を解消できます。
この脆弱性は、セキュリティ研究者のGeorgii Shutiaev氏によって責任ある開示が行われました。同氏はPleskチームと連携し、公開通知の前にパッチが利用可能な状態を確保しており、責任ある脆弱性開示の模範的な事例といえます。
LinuxでPleskを運用しているホスティングプロバイダー、マネージドサービスプロバイダー、および企業チームは、CVE-2026-44962を最優先の緊急課題として対処する必要があります。
ネットワーク越しにアクセス可能で攻撃の複雑さが低く、ユーザーの操作を必要としないCVSS 10.0の脆弱性は、本番サーバーインフラにおいて最も危険な脆弱性の部類に属するものです。
翻訳元: https://cyberpress.org/plesk-vulnerability-arbitrary-command-execution/