Pleskで新たに開示された深刻な脆弱性が、セキュリティ上の重大な懸念を引き起こしています。研究者らは、低権限ユーザーが影響を受けるサーバー上で任意のコマンドを実行できることを確認しました。
CVE-2026-44962として追跡されているこの脆弱性はPlesk for Linuxに影響を与えており、APSアプリケーションカタログの検索機能における不適切な入力処理に起因しています。
本件はGitHub Advisory Databaseに公開されており、現在も調査が続いていますが、ローカル権限昇格を引き起こす可能性があるため、実環境においては非常に危険です。
このセキュリティ上の欠陥により、最小限の権限しか持たない認証済みユーザーでも、バックエンドのクエリを操作し、悪意のあるペイロードを注入できてしまいます。
この脆弱性を悪用することで、攻撃者は意図されたクエリロジックを突破し、サーバー上で任意のオペレーティングシステムコマンドを実行できます。
これにより、アクセス権限が限られたユーザーでも特権的な操作が可能となり、ローカル権限昇格が発生します。
共有ホスティング環境やマルチテナントシステムでは、ラテラルムーブメントやサーバー全体の侵害リスクが大幅に高まります。
CVE-2026-44962の根本原因は、APSカタログ検索機能に存在するXPathインジェクションの脆弱性にあります。アドバイザリによると、ユーザーが制御する入力が十分なサニタイズや検証なしにXPathクエリへ直接埋め込まれています。
今回の脆弱性は管理機能に直接影響を与えるため、一般的なユーザーレベルの攻撃を超えた深刻な被害をもたらす可能性があります。
セキュリティ研究者は、XPathインジェクションの脆弱性はSQLインジェクションと比べて見落とされがちだと指摘していますが、バックエンドの処理メカニズムに関連する場合は同様に深刻な被害をもたらす可能性があります。
Pleskの深刻な脆弱性
開示時点では、影響を受ける特定のバージョンはGitHubアドバイザリに明示されていませんでした。しかし、Pleskはパッチ済みバージョンが2026年2月24日および25日にリリースされたことを確認しています。修正済みバージョンはPlesk 18.0.76.2および18.0.75.1であり、ユーザーには速やかなアップグレードが強く推奨されます。
以下は脆弱性の概要です。
| フィールド | 詳細 |
|---|---|
| CVE ID | CVE-2026-44962 |
| 製品 | Plesk for Linux |
| 深刻度 | Critical(緊急) |
| 脆弱性の種類 | コマンド実行につながるXPathインジェクション |
| 影響 | ローカル権限昇格 |
| 修正済みバージョン | 18.0.76.2、18.0.75.1 |
直ちにアップデートを適用できない組織に向けて、Pleskは一時的な緩和策を提供しています。
管理者は、/usr/local/psa/admin/conf/panel.ini にあるパネル設定ファイルを変更し、APSサポートを無効化する設定エントリを追加することで、脆弱なAPS機能をオフにできます。
これにより露出リスクは軽減されますが、完全な修正ではないため、あくまでも短期的な回避策としてのみ使用してください。
この脆弱性はセキュリティ研究者のGeorgii Shutiaev氏によって責任ある開示が行われ、同氏はPleskチームと協力してパッチのリリースを調整しました。ベンダーの迅速な対応は、問題の深刻さとタイムリーなアップデートの重要性を改めて示しています。
Webホスティングおよびクラウド環境でのPleskの広範な利用状況を踏まえると、この脆弱性はパッチが適用されていないサーバーに対して重大な脅威をもたらします。
攻撃者は開示直後にこうした脆弱性をスキャンすることが多いため、修正の遅れは重大なリスク要因となります。
組織はパッチの展開を優先し、不審な活動を監視するとともに、アクセス制御を見直して潜在的な悪用リスクを最小限に抑えるべきです。
脅威アクターがWebホスティングのコントロールパネルを標的にし続ける中、CVE-2026-44962のような脆弱性は、厳格な入力検証、セキュアコーディングの実践、そしてサーバーインフラ全体にわたる積極的な脆弱性管理の必要性を改めて浮き彫りにしています。
翻訳元: https://gbhackers.com/critical-plesk-vulnerability/
