CVE-2026-48172: kritinis LiteSpeed cPanel Plugin pažeidžiamumas suteikia užpuolikui root prieigą prie viso serverio.
CVE-2026-48172: kritinis LiteSpeed cPanel Plugin pažeidžiamumas suteikia užpuolikui root prieigą prie viso serverio.
Užpuolikas gauna prieigą prie bet kurios cPanel paskyros serveryje — per nulaužtą svetainę, nutekėjusį slaptažodį, brute force — ir per vieną LiteSpeed įskiepio funkciją eskaluoja iki root visos mašinos mastu. Visos paskyros, visos duomenų bazės, visos svetainės — pažeistos.
Tai yra CVE-2026-48172. 2026 m. gegužės 19 d. tyrėjas Davidas Strydom pranešė LiteSpeed Technologies apie pažeidžiamumą vartotojo cPanel įskiepyje. CVSS 4.0 įvertinimas: 10.0 CRITICAL — maksimalus įmanomas balas. Atakos jau vyksta.
KAIP VEIKIA PAŽEIDŽIAMUMAS
Pažeidžiamumas slypi funkcijoje lsws.redisAble — ji atsakinga už Redis įjungimą ir išjungimą konkrečiai cPanel paskyrai. Įprasta administracinė operacija. Tačiau joje yra teisių valdymo klaida (CWE-266): įskiepis neskiria vykdymo konteksto tarp vartotojo paskyros ir sistemos, todėl skriptas galiausiai vykdomas root vardu.
Šį pažeidžiamumą ypač pavojingu daro ne mechanizmas, o išnaudojimo sąlygos. Ataka veikia nuotoliniu būdu, nereikalauja jokių privilegijų ir jokio sudėtingo pasiruošimo. Bet kuri cPanel paskyra pažeidžiamame serveryje — tai įėjimo bilietas. Nereikia būti serverio savininku, nereikia žinoti root slaptažodžio, net nereikia turėti savo svetainės tame serveryje — pakanka pažeisti bet kurią iš esamų paskyrų.
Atakos grandinė:
- Užpuolikas gauna prieigą prie bet kurios cPanel paskyros — per phishing, nutekėjusį slaptažodį, brute force arba pažeidžiamumą vienoje iš svetainių.
- Siunčia specialiai suformuotą užklausą funkcijai
lsws.redisAbleper cPanel JSON API. - Įskiepis įvykdo savavališką skriptą
rootvardu. - Visiškas serverio valdymas užpuoliko rankose.
Paveiktos versijos: LiteSpeed vartotojo cPanel įskiepis nuo 2.3 iki 2.4.4 imtinai. LiteSpeed WHM įskiepis tiesiogiai nėra pažeidžiamas, tačiau pataisyta versija tiekiama būtent per WHM įskiepį — jį ir reikia atnaujinti.
CHRONOLOGIJA
Svarbu žinoti prieš skaitant datas: kai LiteSpeed gavo pranešimą, pažeidžiamumas jau buvo aktyviai išnaudojamas. Delsti nebuvo galimybės.
- 2026 m. gegužės 19 d. — gautas pranešimas iš Davido Strydom. Tą pačią dieną cPanel priverstinai pašalino įskiepį iš visų serverių per naktinį atnaujinimą. LiteSpeed išleido cPanel įskiepį 2.4.6 ir WHM įskiepį 5.3.0.0.
- 2026 m. gegužės 20 d. — paprašytas CVE identifikatorius. NVD tą pačią dieną paskelbė CVE-2026-48172 įrašą.
- 2026 m. gegužės 21 d. — baigta išplėstinė saugumo patikra kartu su cPanel/WebPros komanda. Išleisti cPanel įskiepis 2.4.7 ir WHM įskiepis 5.3.1.0 — juose uždarytas pradinis pažeidžiamumas ir papildomi atakos vektoriai, rasti audito metu.
Nuo pirmojo pranešimo iki galutinio pataisymo — dvi dienos. Aktyviai išnaudojamam pažeidžiamumui — tai greita reakcija.
KODĖL TAI PAVOJINGA
CVSS 10.0 — tai ne tik bauginantis skaičius. Tokį įvertinimą gauna pažeidžiamumai, kurie veikia be autentifikacijos, nuotoliniu būdu, be sudėtingų sąlygų ir suteikia užpuolikui visišką sistemos kontrolę.
Dedikuotame serveryje su vienu savininku žala bent jau apribota — nukentės vienas klientas. Tačiau dauguma cPanel serverių yra shared hosting: dešimtys ar šimtai skirtingų žmonių svetainių vienoje mašinoje. Čia pažeidžiamumas sugriauna pačią izoliacijos koncepciją. Nesvarbu, kaip gerai apsaugota jūsų svetainė — jei tame pačiame serveryje yra bent viena silpna paskyra, užpuolikas gauna root visos mašinos mastu. Tuomet rizikuoja visi: svetimos duomenų bazės, paštas, SSL raktai, konfigūracijos, klientų duomenys.
Būtent todėl atakos prasidėjo dar prieš išleidžiant pataisymą. Shared hosting — koncentruotas taikinys: sulaužei vieną silpną grandį, gavai prieigą prie visko iš karto.
KĄ DARYTI
Pirmiausia patikrinkite, ar kas nors jau nebuvo jūsų serveryje — tada atnaujinkite. LiteSpeed ir NVD abu nurodo tą pačią komandą: ji cPanel žurnaluose ieško užklausų į pažeidžiamą funkciją lsws.redisAble.
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Vėliavėlė -r paleidžia rekursinę paiešką visuose katalogo failuose, -E įjungia išplėstinius reguliariuosius reiškinius, o 2>/dev/null slepia prieigos klaidas prie failų, kurie jūsų nedomina. Jei komanda nieko nerodo — akivaizdžių išnaudojimo pėdsakų nėra, tačiau atnaujinti vis tiek būtina. Jei išvestyje matote eilučių — žiūrėkite į IP adresus: teisėti kreipimaisi į redisAble galimi, jei patys valdėte Redis per cPanel, tačiau nepažįstami IP — ypač su pakartotinėmis užklausomis ne darbo valandomis — yra signalas tikrinti sisteminius žurnalus tuo pačiu laikotarpiu ir ieškoti komandų, vykdytų kaip root, kurių ten neturėtų būti.
Dabar pataisymas. Reikia LiteSpeed WHM Plugin 5.3.1.0 arba naujesnės versijos — joje yra cPanel įskiepis 2.4.7 su uždarytu pažeidžiamumu. Galima atnaujinti per WHM: eikite į skyrių Plugins, raskite LiteSpeed Web Server Plugin for WHM ir atnaujinkite. Arba iš komandinės eilutės kaip root — tai oficialus LiteSpeed dokumentacijos metodas, veikiantis tiek naujai instaliacijai, tiek atnaujinimui:
cd /usr/src
wget http://www.litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh
sh ./lsws_whm_plugin_install.sh
rm lsws_whm_plugin_install.sh
Skriptas atsisiųs naujausią versiją ir įdiegs ją ant esamos. Baigus patikrinkite versiją WHM — turi būti rodoma 5.3.1.0 arba aukštesnė.
Jei atnaujinti šiuo metu neįmanoma — pašalinkite pažeidžiamą komponentą. Tai laikina priemonė, kurią oficialiai rekomenduoja LiteSpeed:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
Komanda pašalina tik vartotojo cPanel įskiepį — WHM įskiepis ir pats LiteSpeed Web Server toliau veikia normaliai. Tai uždaro atakos vektorių tol, kol atsiras galimybė įdiegti pilnavertį pataisymą.
IŠVADOS
CVE-2026-48172 su 10.0 įvertinimu ir aktyviu išnaudojimu — tai ne tas dalykas, kurį atideda kitai savaitei. Patikrinkite LiteSpeed cPanel Plugin versiją visuose savo serveriuose, paleiskite grep komandą žurnaluose ir atnaujinkite iki WHM Plugin 5.3.1.0.
Jei esate hostingo tiekėjas — vienas nepataisytas serveris gali kainuoti šimtų klientų svetainių duomenis. Jei esate hostingo klientas — paklauskite tiekėjo, ar įskiepis atnaujintas, ir reikalaukite patvirtinimo. Jei esate serverio su cPanel ir LiteSpeed administratorius — būtent jūs turite tai uždaryti dabar pat.
