LiteSpeed Technologies выпустила срочное обновление для пользовательского плагина LiteSpeed под cPanel. Уязвимость получила идентификатор CVE-2026-48172 и относится к повышению привилегий. В практическом смысле это означает, что пользователь cPanel, включая взломанную учетную запись, мог задействовать функцию lsws.redisAble и запустить скрипты от имени root.
Проблема касается LiteSpeed User-End cPanel Plugin. Разработчик отдельно уточнил, что LiteSpeed WHM Plugin как родительский плагин не был затронут этой конкретной ошибкой. Риск есть у установок, где используется пользовательский cPanel-плагин LiteSpeed версий от 2.3 до 2.4.4.
NVD описывает уязвимость как ошибку, связанную с обработкой функций включения и отключения Redis. По шкале CVSS 3.1 у неё оценка 9,8 из 10, а по CVSS 4.0 от CNA — 10,0, то есть максимальный критический уровень.
Root-доступ на сервере — это верхнеуровневые права в Linux-системе. После такого доступа злоумышленник может менять системные файлы, добавлять пользователей, закрепляться в системе, читать данные сайтов и клиентов, ставить веб-шеллы, менять конфигурацию служб или использовать сервер для дальнейших атак.
Для хостинг-провайдеров риск выше обычного. cPanel часто используется на серверах с несколькими сайтами и аккаунтами. Ошибка в пользовательском плагине опасна тем, что атака могла идти через обычную или уже скомпрометированную учётную запись cPanel, а результатом становилось выполнение кода с правами root.
Хронология получилась плотной. LiteSpeed получил сообщение о проблеме 19 мая 2026 года. В тот же день cPanel отправила ночное обновление, которое удаляло уязвимый пользовательский LiteSpeed-плагин для всех версий cPanel. 20 мая LiteSpeed выпустила cPanel plugin 2.4.6 и WHM plugin 5.3.0.0, а 21 мая завершила дополнительную проверку безопасности и опубликовала cPanel plugin 2.4.7 вместе с WHM plugin 5.3.1.0.
Основное исправление связано с уязвимой логикой Redis-функций в пользовательском cPanel-плагине. В журнале релизов LiteSpeed видно, что версия 2.4.6 вернула функции включения и отключения Redis уже с дополнительным усилением безопасности. Версия 2.4.7, выпущенная 21 мая, закрыла ещё ряд потенциальных проблем: усиление проверок сертификатов, десериализацию и доступ к API-вызовам в рамках авторизованного пользователя.
Дополнительные векторы атаки нашли во время расширенной проверки cPanel- и WHM-плагинов. Публичных сообщений об эксплуатации этих дополнительных проблем на момент публикации уведомления не было.
26 мая 2026 года CISA добавила CVE-2026-48172 в каталог Known Exploited Vulnerabilities, куда попадают уязвимости с подтверждённой эксплуатацией. Для федеральных гражданских ведомств США установлен срок до 29 мая 2026 года: применить меры производителя, выполнить требования BOD 22-01 для облачных сервисов или прекратить использование продукта, если защититься иначе нельзя.
LiteSpeed рекомендует проверить логи на следы обращения к уязвимой функции. Команда для Linux-сервера:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Пустой вывод означает, что в указанных логах следов эксплуатации не найдено. Наличие строк в выводе требует ручной проверки IP-адресов, оценки легитимности запросов и анализа системных логов на действия с этих адресов.
Для срочного удаления пользовательского плагина производитель и cPanel указывают команду:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
cPanel также рекомендует принудительно обновить систему командой:
/scripts/upcp --force
Эти действия нужны администраторам, которые ещё не получили автоматическое удаление или обновление через штатный процесс cPanel.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
