Webホスティングコントロールパネルとして広く利用されているPleskのLinux版において、極めて深刻な権限昇格の脆弱性「CVE-2026-44962」が報告されました。CVSSv3.1のベーススコアは最高の10.0と評価されており、低権限の認証済みユーザーが悪用することで、サーバー上で任意のOSコマンドを実行し、root権限を取得する可能性があります。この脆弱性は、すでにパッチがリリースされていますが、未適用の環境では緊急の対策が必要です。
脆弱性の概要と影響範囲
本脆弱性「CVE-2026-44962」は、Plesk for LinuxのAPSアプリケーションカタログの検索機能におけるXPathインジェクションの不備に起因します。ユーザーが提供した入力が適切にサニタイズされずにXPathクエリに挿入されるため、攻撃者は細工した入力を用いることで、アプリケーションのロジックを迂回し、認証された低権限ユーザーとしてOSコマンドを自由に実行できる状態になります。
これにより、機密性の高い情報へのアクセス、ウェブサイトの改ざん、サーバーリソースの破壊、さらにはサーバー全体の乗っ取りといった壊滅的な被害に繋がる恐れがあります。特に共有ホスティング環境やマルチテナントシステムでは、被害が広範囲に及ぶ可能性が高く、即座の対応が求められます。
具体的な影響・攻撃シナリオ
攻撃者は、Pleskへの有効なログイン情報(たとえそれが非常に低い権限のものであっても)を保有していれば、APSアプリケーションカタログの検索機能を通じて悪意のあるXPathクエリを注入します。このクエリはサーバーのバックエンドで処理され、結果として攻撃者の意図する任意のOSコマンドがroot権限で実行されることになります。
例えば、サーバー内の設定ファイル(例: `/etc/passwd`)の読み取り、重要なサービスの停止、さらにはマルウェアのアップロードと実行などが可能です。これにより、Pleskを運用するウェブサイトや関連するデータが完全に侵害されるリスクがあります。
エンジニアが今すぐ取るべき対策
最も重要な対策は、Pleskを速やかに最新バージョンにアップデートすることです。Pleskはすでにこの脆弱性に対応したバージョン18.0.76.2および18.0.75.1を2026年2月にリリースしています。
緊急のアップデートが困難な場合、暫定的な緩和策として、Pleskの設定ファイルでAPSアプリケーションカタログ機能を無効化することが推奨されています。また、ウェブサーバー(Nginxなど)の設定で、APSカタログに関連するパスへの外部からのアクセスを制限することも有効です。
# Plesk APS Application Catalogへの不正アクセスをブロック (CVE-2026-44962 緩和策)
# この設定は、Pleskの機能に影響を与える可能性があるため、テスト環境で十分に検証してください。
# Pleskのアップデートが最優先です。
location ~* ^/aps-catalog/ { # APS Catalogのパスに合わせて調整してください
deny all;
return 403;
}
# もしPleskの /aps/ エンドポイント全体を無効化する必要がある場合 (より広範な影響)
# location ~* ^/aps/ {
# deny all;
# return 403;
# }