Una vulnerabilidad crítica recientemente revelada en Plesk, identificada como CVE-2026-44962, está generando graves preocupaciones de seguridad después de que los investigadores confirmaran que puede permitir a usuarios autenticados ejecutar comandos arbitrarios del sistema operativo en los servidores afectados.

El problema, publicado en la Base de Datos Nacional de Vulnerabilidades y en la Base de Datos de Avisos de GitHub, afecta al componente del Catálogo de Aplicaciones APS y se le ha asignado una puntuación CVSS crítica debido a su alto impacto en la confidencialidad, integridad y disponibilidad.

La vulnerabilidad se deriva de un fallo de inyección XPath en la funcionalidad de búsqueda del Catálogo APS.

Vulnerabilidad de Ejecución de Comandos de Plesk

Específicamente, la entrada proporcionada por el usuario se gestiona de forma incorrecta y se incorpora directamente en las consultas XPath sin una desinfección adecuada.

Esta debilidad, categorizada bajo CWE-643, permite a los atacantes manipular la lógica de la consulta y controlar cómo se recuperan los datos del almacenamiento basado en XML.

En la práctica, un usuario autenticado con bajos privilegios puede explotar este fallo para escalar privilegios y ejecutar comandos arbitrarios en el servidor subyacente.

Debido a que el ataque solo requiere acceso a la red y privilegios mínimos, y no depende de la interacción del usuario, reduce significativamente la barrera para su explotación en entornos del mundo real.

La vulnerabilidad también opera con un alcance modificado, lo que significa que puede impactar recursos más allá de su límite de seguridad original.

Los investigadores de seguridad señalan que las vulnerabilidades de inyección XPath son particularmente peligrosas en aplicaciones web que dependen del procesamiento de datos XML, ya que pueden eludir los controles tradicionales de validación de entrada.

En este caso, la neutralización incorrecta de la entrada permite a los atacantes diseñar consultas maliciosas que alteran eficazmente el comportamiento de ejecución del backend.

Plesk ha reconocido el problema y ha lanzado versiones parcheadas para solucionar el fallo. La vulnerabilidad ha sido corregida en las versiones de Plesk 18.0.76.2 y 18.0.75.1, que estuvieron disponibles a finales de febrero de 2026.

Te recomendamos encarecidamente que actualices tus instalaciones inmediatamente para mitigar el riesgo de explotación. Para entornos donde el parcheo inmediato no sea viable, Plesk ha proporcionado una solución temporal.

Los administradores pueden desactivar la funcionalidad del Catálogo APS modificando el archivo de configuración del panel en /usr/local/psa/admin/conf/panel.ini.

Aunque esto reduce la exposición, no sustituye la aplicación de la actualización de seguridad oficial. La vulnerabilidad fue revelada responsablemente por el investigador de seguridad Georgii Shutiaev, quien colaboró con Plesk para asegurar una remediación coordinada.

En el momento de la publicación, no hay evidencia pública de explotación activa. Sin embargo, dada la simplicidad del ataque y su alto impacto, los actores de amenazas podrían convertirlo en un arma rápidamente.

Si utilizas Plesk, especialmente en hosting compartido o entornos multi-inquilino, debes tratar esta vulnerabilidad como una prioridad.

El parcheo inmediato, la revisión del control de acceso y el monitoreo de actividades sospechosas de ejecución de comandos son pasos críticos para prevenir un posible compromiso.

Este incidente resalta los riesgos constantes del manejo incorrecto de entradas en aplicaciones web. Refuerza la importancia de las prácticas de codificación segura y la gestión oportuna de parches para reducir la superficie de ataque.