Блог

CVE-2026-48172: критическая уязвимость в LiteSpeed cPanel.

cpanel_warning
CVE / Linux / Безопасность

CVE-2026-48172: критическая уязвимость в LiteSpeed cPanel.

Атакующий получает доступ к любому cPanel-аккаунту на сервере — через взломанный сайт, утечку пароля, brute force — и через одну функцию LiteSpeed-плагина эскалирует до root на всей машине. Все аккаунты, все базы данных, все сайты — скомпрометированы.

Именно это и делает CVE-2026-48172. 19 мая 2026 года исследователь Дэвид Страйдом (David Strydom) сообщил LiteSpeed об уязвимости в пользовательском cPanel-плагине. Оценка по CVSS 4.0 — 10.0 CRITICAL, максимально возможный балл. Атаки уже идут.

КАК РАБОТАЕТ УЯЗВИМОСТЬ

Уязвимость находится в функции lsws.redisAble — она отвечает за включение и выключение Redis для конкретного cPanel-аккаунта. Рутинная административная операция. Но в обработке этой функции допущена ошибка управления привилегиями (CWE-266): плагин не разграничивает контекст выполнения между аккаунтом пользователя и системой, и скрипт в итоге выполняется от имени root.

Что делает эту уязвимость особенно опасной — даже не сам механизм, а условия эксплуатации. Атака работает удалённо, не требует никаких привилегий и не требует никаких сложных манипуляций. Любой аккаунт cPanel на уязвимом сервере — входной билет. Не нужно быть владельцем сервера, не нужно знать пароль root, не нужно даже иметь собственный сайт на этом сервере — достаточно скомпрометировать любой из существующих аккаунтов.

Цепочка атаки:

  • Атакующий получает доступ к любому cPanel-аккаунту — через фишинг, утечку пароля, brute force или уязвимость в одном из сайтов.
  • Отправляет специально сформированный запрос к функции lsws.redisAble через cPanel JSON API.
  • Плагин выполняет произвольный скрипт от имени root.
  • Полный контроль над сервером.

Затронуты версии пользовательского cPanel-плагина LiteSpeed с 2.3 по 2.4.4 включительно. Плагин для WHM не уязвим напрямую, но именно через WHM-плагин поставляется исправленная версия — обновлять нужно его.

ХРОНОЛОГИЯ

Важный контекст к датам ниже: когда LiteSpeed получила отчёт, уязвимость уже эксплуатировалась. Времени на раскачку не было.

  • 19 мая 2026 — получен отчёт от David Strydom. В тот же день cPanel принудительно удалила плагин на всех серверах через ночное обновление. LiteSpeed выпустила cPanel-плагин 2.4.6 и WHM-плагин 5.3.0.0.
  • 20 мая 2026 — запрошен CVE-идентификатор. NVD опубликовал запись CVE-2026-48172 в тот же день.
  • 21 мая 2026 — завершена расширенная проверка безопасности совместно с командой cPanel/WebPros. Выпущены cPanel-плагин 2.4.7 и WHM-плагин 5.3.1.0 — в них закрыта исходная уязвимость и дополнительные векторы, найденные в ходе аудита.

От первого сообщения до финального патча — двое суток. Для уязвимости под активной эксплуатацией — быстро.

ПОЧЕМУ ОПАСНО

CVSS 10.0 — это не просто страшное число. Такую оценку получают уязвимости которые работают без аутентификации, удалённо, без сложных условий и дают полный контроль над системой.

Для выделенного сервера с одним владельцем ущерб хотя бы ограничен: пострадает один клиент. Но большинство серверов с cPanel — это shared hosting: десятки или сотни сайтов разных людей на одной машине. Здесь уязвимость ломает саму концепцию изоляции. Не важно насколько хорошо защищён твой сайт — если на том же сервере есть хоть один слабый аккаунт, атакующий получает root на всей машине. И тогда под удар попадают все: чужие базы данных, чужая почта, чужие SSL-ключи, конфигурации, данные клиентов.

Именно поэтому атаки начались ещё до публикации патча. Shared hosting — это концентрированная цель: взломал одно слабое звено, получил доступ ко всем остальным сразу.

ЧТО ДЕЛАТЬ

Начни не с обновления, а с проверки — нужно понять, не побывал ли кто-то на сервере уже. LiteSpeed и NVD дают для этого конкретную команду: она ищет в логах cPanel обращения к уязвимой функции lsws.redisAble.

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Флаг -r запускает рекурсивный поиск по всем файлам в директории, -E включает расширенные регулярные выражения, а 2>/dev/null прячет ошибки доступа к файлам которые тебя не касаются. Если команда ничего не вывела — явных следов эксплуатации нет, но обновиться нужно всё равно. Если в выводе есть строки — смотри на IP-адреса: легитимные обращения к redisAble возможны если ты сам управлял Redis через cPanel, но незнакомые IP особенно с повторными запросами в нерабочее время — это уже повод поднимать системные логи за тот же период и искать команды запущенные от root, которых там быть не должно.

Теперь патч. Нужна версия LiteSpeed WHM Plugin 5.3.1.0 или новее — в ней cPanel-плагин 2.4.7 с закрытой уязвимостью. Обновить можно через WHM: зайди в раздел Plugins, найди LiteSpeed Web Server Plugin for WHM и обнови оттуда. Или через командную строку от root — это официальный метод из документации LiteSpeed, работает и для свежей установки, и для обновления:

cd /usr/src
wget http://www.litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh
sh ./lsws_whm_plugin_install.sh
rm lsws_whm_plugin_install.sh

Скрипт скачает актуальную версию и установит её поверх существующей. После завершения проверь версию в WHM — должно быть 5.3.1.0 или выше.

Если обновить прямо сейчас невозможно — удали уязвимый компонент. Это официальная временная мера от LiteSpeed:

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Команда удаляет только пользовательский cPanel-плагин — WHM-плагин и сам LiteSpeed Web Server продолжают работать. Это закрывает вектор атаки до тех пор пока не появится возможность поставить нормальный патч.

ВЫВОДЫ

CVE-2026-48172 с оценкой 10.0 и активной эксплуатацией — это не то, что откладывают на следующую неделю. Проверь версию LiteSpeed cPanel Plugin на всех своих серверах, прогони команду grep по логам и обновись до WHM Plugin 5.3.1.0.

Если ты хостинг-провайдер — один непропатченный сервер может стоить данных сотен клиентских сайтов. Если ты клиент хостинга — спроси у провайдера, обновлён ли плагин, и требуй подтверждения. Если ты сисадмин сервера с cPanel и LiteSpeed — ты и есть тот, кто должен это закрыть прямо сейчас.

Leave your thought here

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Поддержать автора

Если вам понравилась статья — вы можете поддержать автора.

Crypto donation button by NOWPayments