Critical Plesk Vulnerability Lets Users Execute Server Commands
2026/06/01 gbhackers — Plesk で発見された深刻な脆弱性は、影響を受けるサーバ上の低権限のユーザーであっても悪用が可能であり、任意のコマンド実行に至ることが、研究者により確認されている。Plesk for Linux の脆弱性 CVE-2026-44962 は、APS アプリケーション・カタログの検索機能における不適切な入力処理に起因するものであり、GitHub Advisory Database での公開後にレビューが進められている。
この問題は、ローカル権限昇格の可能性があるため、実環境では極めて危険な脆弱性となる。この脆弱性の悪用により、最小権限を持つ認証済みユーザーであってもバックエンド・クエリの操作が可能となり、悪意のペイロード注入に至る恐れがある。
この脆弱性の悪用に成功した攻撃者は、本来意図されたクエリ・ロジックを回避し、基盤サーバ上で任意のオペレーティング・システム・コマンドを実行できる。それにより、アクセス権限が制限されたユーザーであっても、特権的な操作が可能となり、結果としてローカル権限昇格を招く。特に、共有ホスティング環境やマルチ・テナント・システムにおいては、ラテラル・ムーブメントやサーバ全体での侵害リスクが大幅に高まる。
脆弱性 CVE-2026-44962 の根本的な原因は、APS カタログ検索機能内に存在する XPath インジェクションの欠陥にある。アドバイザリーによると、ユーザー制御の入力が十分なサニタイズや検証を経ることなく、XPath クエリに直接埋め込まれることが原因とされる。
このケースで懸念されるのは、脆弱性 CVE-2026-44962 が管理機能に直接的に影響するため、一般的なユーザー・レベルの攻撃を超えて被害が拡大する点である。SQL インジェクションと比較して、XPath インジェクションが見落とされがちな点を、セキュリティ研究者たちは指摘している。バックエンド処理メカニズムと結び付いた場合には、同等に深刻な問題となり得ると、彼らは強調している。
Plesk の深刻な脆弱性
公開時点において、GitHub Advisory Database のアドバイザリーには、影響を受けるバージョンに関する具体的な記載はなかった。すでに Plesk が、2026年2月24日〜25日に、修正版を公開したことが確認されている。その修正版となる Plesk 18.0.76.2/18.0.75.1 への速やかなアップグレードが、ユーザーに対して強く推奨されている。
以下に脆弱性の概要を示す。
| Field | Details |
|---|---|
| CVE ID | CVE-2026-44962 |
| Product | Plesk for Linux |
| Severity | Critical |
| Vulnerability Type | XPath Injection leading to Command Execution |
| Impact | Local Privilege Escalation |
| Patched Versions | 18.0.76.2, 18.0.75.1 |
迅速なアップグレードが不可能な組織向けに、Plesk は一時的な緩和策を提供している。具体的に、管理者に推奨されるのは、”/usr/local/psa/admin/conf/panel.ini” にあるパネル設定ファイルを編集し、APS 機能または APS サポートを無効化する設定項目を追加することである。それにより、影響を受ける APS 機能が無効化されリスクが低減される。ただし、これは完全な修正ではなく、短期的な回避策としてのみ利用すべきである。
この脆弱性は、Georgii Shutiaev により責任ある開示が行われ、Plesk チームとの協力によりパッチ公開が調整された。ベンダーによる迅速な対応は、この問題の深刻さとタイムリーな更新の重要性を改めて浮き彫りにしている。
Web ホスティングおよびクラウド環境における Plesk の広範な利用を考慮すると、この脆弱性に対するパッチ適用は緊急を要するものとなる。公開された脆弱性へのスキャンが、攻撃者により迅速に実施される傾向があるため、修正の遅れは深刻なリスク要因となり得る。そのため、組織にとって必要なことは、パッチ適用を最優先事項とし、不審なアクティビティの監視やアクセス制御の見直しを実施することで、悪用の可能性を最小限に抑えることだ。
脅威アクターたちは、Web ホスティング・コントロール・パネルを継続的に標的としている。この現状において、CVE-2026-44962 のような脆弱性が示すのは、サーバ・インフラ全体における厳格な入力検証/セキュア・コーディング/プロアクティブな脆弱性管理の必要性である。
訳者後書:Plesk の脆弱性 CVE-2026-44962 は、プログラムがユーザーの入力を正しくチェックしない状態で処理してしまうことに起因します。具体的には、検索機能に入力された文字を、そのまま XPath クエリの命令に組み込んでしまうため、攻撃者による悪意の命令の実行が引き起こされてしまいます。データベースを扱う SQL インジェクションと比べて、見落とされがちな問題ですが、システムの深い部分と結びつくと、このようにサーバ全体を操作される深刻な事態に繋がります。ご利用のチームは、ご注意ください。よろしければ、Plesk での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.