CVE-2026-48172: критическая уязвимость в LiteSpeed cPanel.
Атакующий получает доступ к любому cPanel-аккаунту на сервере — через взломанный сайт, утечку пароля, brute force — и через одну функцию LiteSpeed-плагина эскалирует до root на всей машине. Все аккаунты, все базы данных, все сайты — скомпрометированы.
Именно это и делает CVE-2026-48172. 19 мая 2026 года исследователь Дэвид Страйдом (David Strydom) сообщил LiteSpeed об уязвимости в пользовательском cPanel-плагине. Оценка по CVSS 4.0 — 10.0 CRITICAL, максимально возможный балл. Атаки уже идут.
КАК РАБОТАЕТ УЯЗВИМОСТЬ
Уязвимость находится в функции lsws.redisAble — она отвечает за включение и выключение Redis для конкретного cPanel-аккаунта. Рутинная административная операция. Но в обработке этой функции допущена ошибка управления привилегиями (CWE-266): плагин не разграничивает контекст выполнения между аккаунтом пользователя и системой, и скрипт в итоге выполняется от имени root.
Что делает эту уязвимость особенно опасной — даже не сам механизм, а условия эксплуатации. Атака работает удалённо, не требует никаких привилегий и не требует никаких сложных манипуляций. Любой аккаунт cPanel на уязвимом сервере — входной билет. Не нужно быть владельцем сервера, не нужно знать пароль root, не нужно даже иметь собственный сайт на этом сервере — достаточно скомпрометировать любой из существующих аккаунтов.
Цепочка атаки:
- Атакующий получает доступ к любому cPanel-аккаунту — через фишинг, утечку пароля, brute force или уязвимость в одном из сайтов.
- Отправляет специально сформированный запрос к функции
lsws.redisAbleчерез cPanel JSON API. - Плагин выполняет произвольный скрипт от имени
root. - Полный контроль над сервером.
Затронуты версии пользовательского cPanel-плагина LiteSpeed с 2.3 по 2.4.4 включительно. Плагин для WHM не уязвим напрямую, но именно через WHM-плагин поставляется исправленная версия — обновлять нужно его.
ХРОНОЛОГИЯ
Важный контекст к датам ниже: когда LiteSpeed получила отчёт, уязвимость уже эксплуатировалась. Времени на раскачку не было.
- 19 мая 2026 — получен отчёт от David Strydom. В тот же день cPanel принудительно удалила плагин на всех серверах через ночное обновление. LiteSpeed выпустила cPanel-плагин 2.4.6 и WHM-плагин 5.3.0.0.
- 20 мая 2026 — запрошен CVE-идентификатор. NVD опубликовал запись CVE-2026-48172 в тот же день.
- 21 мая 2026 — завершена расширенная проверка безопасности совместно с командой cPanel/WebPros. Выпущены cPanel-плагин 2.4.7 и WHM-плагин 5.3.1.0 — в них закрыта исходная уязвимость и дополнительные векторы, найденные в ходе аудита.
От первого сообщения до финального патча — двое суток. Для уязвимости под активной эксплуатацией — быстро.
ПОЧЕМУ ОПАСНО
CVSS 10.0 — это не просто страшное число. Такую оценку получают уязвимости которые работают без аутентификации, удалённо, без сложных условий и дают полный контроль над системой.
Для выделенного сервера с одним владельцем ущерб хотя бы ограничен: пострадает один клиент. Но большинство серверов с cPanel — это shared hosting: десятки или сотни сайтов разных людей на одной машине. Здесь уязвимость ломает саму концепцию изоляции. Не важно насколько хорошо защищён твой сайт — если на том же сервере есть хоть один слабый аккаунт, атакующий получает root на всей машине. И тогда под удар попадают все: чужие базы данных, чужая почта, чужие SSL-ключи, конфигурации, данные клиентов.
Именно поэтому атаки начались ещё до публикации патча. Shared hosting — это концентрированная цель: взломал одно слабое звено, получил доступ ко всем остальным сразу.
ЧТО ДЕЛАТЬ
Начни не с обновления, а с проверки — нужно понять, не побывал ли кто-то на сервере уже. LiteSpeed и NVD дают для этого конкретную команду: она ищет в логах cPanel обращения к уязвимой функции lsws.redisAble.
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Флаг -r запускает рекурсивный поиск по всем файлам в директории, -E включает расширенные регулярные выражения, а 2>/dev/null прячет ошибки доступа к файлам которые тебя не касаются. Если команда ничего не вывела — явных следов эксплуатации нет, но обновиться нужно всё равно. Если в выводе есть строки — смотри на IP-адреса: легитимные обращения к redisAble возможны если ты сам управлял Redis через cPanel, но незнакомые IP особенно с повторными запросами в нерабочее время — это уже повод поднимать системные логи за тот же период и искать команды запущенные от root, которых там быть не должно.
Теперь патч. Нужна версия LiteSpeed WHM Plugin 5.3.1.0 или новее — в ней cPanel-плагин 2.4.7 с закрытой уязвимостью. Обновить можно через WHM: зайди в раздел Plugins, найди LiteSpeed Web Server Plugin for WHM и обнови оттуда. Или через командную строку от root — это официальный метод из документации LiteSpeed, работает и для свежей установки, и для обновления:
cd /usr/src
wget http://www.litespeedtech.com/packages/cpanel/lsws_whm_plugin_install.sh
sh ./lsws_whm_plugin_install.sh
rm lsws_whm_plugin_install.sh
Скрипт скачает актуальную версию и установит её поверх существующей. После завершения проверь версию в WHM — должно быть 5.3.1.0 или выше.
Если обновить прямо сейчас невозможно — удали уязвимый компонент. Это официальная временная мера от LiteSpeed:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
Команда удаляет только пользовательский cPanel-плагин — WHM-плагин и сам LiteSpeed Web Server продолжают работать. Это закрывает вектор атаки до тех пор пока не появится возможность поставить нормальный патч.
ВЫВОДЫ
CVE-2026-48172 с оценкой 10.0 и активной эксплуатацией — это не то, что откладывают на следующую неделю. Проверь версию LiteSpeed cPanel Plugin на всех своих серверах, прогони команду grep по логам и обновись до WHM Plugin 5.3.1.0.
Если ты хостинг-провайдер — один непропатченный сервер может стоить данных сотен клиентских сайтов. Если ты клиент хостинга — спроси у провайдера, обновлён ли плагин, и требуй подтверждения. Если ты сисадмин сервера с cPanel и LiteSpeed — ты и есть тот, кто должен это закрыть прямо сейчас.
