Kritische Plesk-Schwachstelle erlaubt Angreifern beliebige Server-Befehle

Die Sicherheitslücke betrifft die Komponente APS Application Catalog und wurde aufgrund ihrer hohen Auswirkung auf Vertraulichkeit, Integrität und Verfügbarkeit mit einer kritischen Bewertung nach dem CVSS-Schema versehen. Ursache für den Fehler ist eine XPath-Injection in der Suchfunktionalität des Katalogs.

Dabei werden eingegebene Benutzereingaben unzureichend verarbeitet und ohne angemessene Bereinigung direkt in XPath-Abfragen integriert. Diese unter CWE-643 klassifizierte Schwachstelle erlaubt Angreifern, die Abfrage-Logik zu manipulieren und zu steuern, wie Daten aus XML-basierten Speichern abgerufen werden.

In der Praxis kann ein Benutzer mit geringen Berechtigungen diese Lücke ausnutzen, um seine Rechte zu eskalieren und beliebige Befehle auf dem darunterliegenden Server auszuführen.

Sicherheitslage und Risiko

Da der Angriff lediglich Netzwerkzugriff und minimale Berechtigungen erfordert und keine Interaktion durch einen Endnutzer voraussetzt, wird die Hürde für die Ausnutzung in realen Umgebungen erheblich gesenkt.

Zudem wirkt die Schwachstelle mit einem veränderten Wirkungsbereich und kann daher Ressourcen jenseits ihrer ursprünglichen Sicherheitsgrenze beeinträchtigen.

Sicherheitsexperten weisen darauf hin, dass XPath-Injection-Schwachstellen besonders gefährlich sind, wenn Webanwendungen auf die Verarbeitung, da sie herkömmliche Eingabevalidierungsmechanismen umgehen können.

Sicherheitslage und Risiko

In diesem Fall ermöglicht die unzureichende Neutralisierung, bösartige Abfragen zu erstellen, die das Verhalten der Backend-Ausführung effektiv verändern. Plesk hat das Problem anerkannt und gepatchte Versionen veröffentlicht, um die Schwachstelle zu beheben.

Die Lücke wurde in den Versionen 18.0.76.2 und 18.0.75.1 behoben, die Ende Februar 2026 veröffentlicht wurden. Benutzer werden dringend aufgefordert, ihre Installationen unverzüglich zu aktualisieren, um das Ausnutzungsrisiko zu mindern. Für Umgebungen, in denen eine sofortige Patchung nicht möglich ist, hat Plesk eine vorübergehende Lösung bereitgestellt.

Administratoren können die APS-Catalog-Funktionalität deaktivieren, indem sie die Konfigurationsdatei des Panels unter /usr/local/psa/admin/conf/panel.ini anpassen. Dies verringert zwar die Exposition, ersetzt jedoch nicht die Anwendung des offiziellen Sicherheitsupdates.

Sicherheitslage und Risiko

Die Schwachstelle wurde durch den Sicherheitsforscher Georgii Shutiaev verantwortungsvoll offengelegt, der mit Plesk zusammenarbeitete, um eine koordinierte Behebung sicherzustellen. Zum Zeitpunkt der Veröffentlichung liegen keine öffentlichen Hinweise auf eine aktive Ausnutzung vor.

Angesichts der Einfachheit des Angriffs und seines hohen Impakts könnten Angreifer diese Schwachstelle jedoch rasch für ihre Zwecke missbrauchen. Organisationen, die Plesk nutzen – insbesondere Shared-Hosting- oder Multi-Tenant-Umgebungen –, sollten diese Schwachstelle als Priorität behandeln.

Unmittelbares Patchen, eine Überprüfung der Zugriffssteuerung und die Überwachung verdächtiger Befehlsausführungsaktivitäten sind entscheidende Schritte, um potenzielle Kompromittierungen zu verhindern. Dieser Vorfall unterstreicht die anhaltenden Risiken unzureichender Eingabebehandlung Webanwendungen.

Der Sicherheitsforscher betont zudem die Bedeutung sicherer Codierungspraktiken und zeitnaher Patch-Verwaltung zur Verringerung der Angriffsfläche. Der Beitrag „Critical Plesk Vulnerability Let Users Execute Arbitrary Commands on the Server" erschien erstmals auf