Una vulnerabilidad crítica en Plesk permite a los usuarios ejecutar comandos arbitrarios en el servidor

Una vulnerabilidad crítica recientemente revelada en Plesk, rastreada como CVE-2026-44962, está generando serias preocupaciones de seguridad después de que los investigadores confirmaran que puede permitir a usuarios autenticados ejecutar comandos arbitrarios del sistema operativo en los servidores afectados. El problema, publicado en la Base Nacional de Vulnerabilidades y en la base de datos de asesorías de GitHub, afecta al componente del catálogo de aplicaciones APS y ha recibido una puntuación CVSS crítica debido a su alto impacto en la confidencialidad, integridad y disponibilidad.

Vulnerabilidad de ejecución de comandos en Plesk

En concreto, la entrada proporcionada por el usuario se procesa incorrectamente y se incorpora directamente a consultas XPath sin una desinfección adecuada. En la práctica, un usuario autenticado con pocos privilegios puede explotar esta falla para escalar privilegios y ejecutar comandos arbitrarios en el servidor subyacente. La vulnerabilidad también afecta a recursos fuera de su límite de seguridad original debido a un alcance modificado, lo que aumenta su impacto potencial. Los investigadores de seguridad señalan que las vulnerabilidades de inyección XPath son especialmente peligrosas en aplicaciones web que dependen del procesamiento de datos XML, ya que pueden eludir los controles tradicionales de validación de entradas.

La vulnerabilidad fue divulgada de forma responsable por el investigador de seguridad Georgii Shutiaev, quien colaboró con Plesk para garantizar una corrección coordinada. Seminario web gratuito sobre OWASP API Top 10 y guía para cerrar brechas de visibilidad con WAAP. La publicación "La vulnerabilidad crítica de Plesk permite a los usuarios ejecutar comandos arbitrarios en el servidor" apareció por primera vez en Cyber Security News.

Consultar publicación original ↗