CVE-2026-44962

🟠 Łataj w tym tygodniu

Wstrzyknięcie XPath w Plesk umożliwia eskalację uprawnień przez wykonanie poleceń systemowych.

CVSS

9.9

EPSS

0.1%

Exploit

none

Vendor

Opis źródłowy (NVD)

Plesk contains an XPath injection vulnerability in the APS Application Catalog search functionality, where user-supplied input is interpolated into XPath queries without proper sanitization. This allows an authenticated, low-privileged user to execute arbitrary operating system commands on the server, resulting in local privilege escalation.

privilege-escalation Brak patcha

Źródła i daty

Źródło	Wartość
NVD – CVSS	9.9
CISA KEV (aktywnie wykorzystywane)	Nie
FIRST EPSS (prawdopodobieństwo exploita)	0.1%
Opublikowano (NVD)	2026-05-29 16:16:27 UTC
Ostatnia modyfikacja (NVD)	2026-05-29 16:33:43 UTC

Referencje

https://support.plesk.com/hc/en-us/articles/38633651286679-Vulnerability-CVE-2026-44962-in-Plesk-s-APS-Catalog (support@hackerone.com)