Kritische CVE-2026-48172-Lücke im LiteSpeed User-End cPanel Plugin

Foto des Autors

CyberSecureFox Editorial Team

Die kritische Schwachstelle CVE-2026-48172 mit dem maximalen CVSS-Score von 10,0 im Plugin LiteSpeed User-End cPanel Plugin wird derzeit aktiv von Angreifern ausgenutzt. Eine fehlerhafte Privilegienzuweisung ermöglicht es jedem cPanel-Benutzer – einschließlich kompromittierter Konten – beliebige Skripte mit root-Rechten über die Funktion lsws.redisAble auszuführen. Betroffen sind alle Plugin-Versionen von 2.3 bis 2.4.4. Administratoren von Servern mit LiteSpeed müssen umgehend auf die cPanel-Plugin-Version 2.4.7 (im Paket WHM Plugin 5.3.1.0) aktualisieren oder das User-Plugin entfernen, falls ein zeitnahes Update nicht möglich ist.

Technische Analyse der Schwachstelle

Gemäß der offiziellen Mitteilung von LiteSpeed liegt die Ursache des Problems im Mechanismus der Privilegienvergabe (CWE: Incorrect Privilege Assignment). Die Funktion lsws.redisAble, die über die cPanel-API zugänglich ist, führt keine ausreichende Prüfung der Berechtigungen des aufrufenden Benutzers durch. In der Folge kann jeder authentifizierte cPanel-Benutzer dieser Funktion ein beliebiges Skript übergeben, das anschließend im Kontext des Superusers (root) ausgeführt wird.

Wesentliche Parameter der Schwachstelle:

  • Identifikator: CVE-2026-48172
  • CVSS-Bewertung: 10,0 (maximale Kritikalität)
  • Betroffenes Produkt: LiteSpeed User-End cPanel Plugin in den Versionen 2.3 – 2.4.4
  • Nicht betroffen: LiteSpeed WHM Plugin (hinsichtlich der ursprünglichen Schwachstelle)
  • Ausnutzungsstatus: bestätigte aktive Ausnutzung in the wild
  • Behoben in: cPanel Plugin 2.4.5 (erster Patch), cPanel Plugin 2.4.7 im Paket WHM Plugin 5.3.1.0 (erweitertes Fix)

Die CVSS-Bewertung von 10,0 spiegelt die Kombination mehrerer Faktoren wider: eine niedrige Einstiegshürde für den Angreifer (jedes beliebige cPanel-Konto genügt), vollständige Kompromittierung des Systems (Codeausführung mit root-Rechten), keine Notwendigkeit zur Benutzerinteraktion und ein Netzwerkangriffsvektor. Die Entdeckung der Schwachstelle wird dem Sicherheitsforscher David Strydom zugeschrieben.

Warum diese Schwachstelle besonders gefährlich ist

Die Kombination mehrerer Faktoren macht CVE-2026-48172 zu einer der gravierendsten Bedrohungen für Hosting-Infrastrukturen:

Ausmaß der potenziellen Auswirkungen. LiteSpeed Web Server zählt zu den am weitesten verbreiteten Webservern im Segment des virtuellen Hostings, und cPanel ist nach wie vor das dominierende Control Panel auf Shared-Hosting-Servern. Auf einem einzelnen cPanel-Server können Hunderte von Kundenkonten betrieben werden. Eine Kompromittierung mit root-Zugriff auf einem solchen Server bedeutet die vollständige Kontrolle über alle gehosteten Websites, Datenbanken, Postfächer und SSL-Zertifikate.

Niedrige Ausnutzungsschwelle. Für den Angriff ist kein privilegierter Zugang erforderlich – ein gewöhnliches cPanel-Konto reicht aus. Auf Shared-Hosting-Servern werden solche Konten in großer Zahl angelegt, und deren Kompromittierung durch Phishing oder Passwort-Leaks ist ein alltägliches Phänomen. Das bedeutet, dass ein Angreifer jedes beliebige kompromittierte Hosting-Konto als Ausgangspunkt für die vollständige Übernahme des Servers nutzen kann.

Bestätigte Ausnutzung. LiteSpeed weist explizit darauf hin, dass die Schwachstelle bereits in Angriffen eingesetzt wird, auch wenn Details zu Kampagnen und Angreiferprofilen nicht offengelegt werden.

Erkennung einer Kompromittierung

LiteSpeed hat einen Indikator für eine Kompromittierung in Form eines Kommandos bereitgestellt, mit dem sich Spuren einer Ausnutzung in den cPanel-Logs suchen lassen:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Interpretation der Ergebnisse:

  • Kein Output – es wurden in den Logs keine Spuren einer Ausnutzung über diesen Vektor gefunden. Dabei ist zu berücksichtigen, dass dies eine Kompromittierung nicht ausschließt – Logs könnten bereinigt worden sein, und die herstellereigene Prüfung deckt möglicherweise nicht sämtliche Angriffsszenarien ab.
  • Es gibt Output – die in den Ergebnissen auftauchenden IP-Adressen müssen analysiert, deren Legitimität bewertet und verdächtige Adressen blockiert werden. Zudem wird empfohlen, den Server umfassend auf installierte Backdoors, veränderte Systemdateien und unautorisierte Benutzerkonten zu prüfen.

Empfehlungen zur Behebung

Priorität: sofortige Reaktion. Angesichts der bestätigten aktiven Ausnutzung und der maximalen Kritikalität muss das Update mit höchster Dringlichkeit durchgeführt werden.

  1. Plugins aktualisieren. Installieren Sie das LiteSpeed WHM Plugin in Version 5.3.1.0, das das cPanel Plugin in Version 2.4.7 enthält. Diese Version bietet nicht nur das Fix für CVE-2026-48172, sondern auch Patches für zusätzliche potenzielle Angriffsvektoren, die LiteSpeed im Rahmen eines internen Security-Audits nach Entdeckung der Hauptschwachstelle identifiziert hat.
  2. Falls ein sofortiges Update nicht möglich ist – entfernen Sie das User-Plugin mit folgendem Befehl: 
    /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
  3. Prüfen Sie die Logs mit dem oben genannten grep-Kommando auf Spuren einer Ausnutzung.
  4. Bei Feststellung von Kompromittierungsspuren – blockieren Sie die identifizierten IP-Adressen, führen Sie einen Audit der Systemdateien und Benutzerkonten durch und prüfen Sie cron-Jobs sowie Autostart-Einträge auf Anzeichen von Persistenzmechanismen.
  5. Ziehen Sie eine Zugangsbeschränkung zur cPanel-Oberfläche per IP-Adressfilterung in der Firewall als zusätzliche Schutzmaßnahme in Betracht.

Bemerkenswert ist, dass LiteSpeed nach der Entdeckung von CVE-2026-48172 einen erweiterten Security-Audit beider Plugins – cPanel und WHM – durchgeführt und zusätzliche potenzielle Angriffsvektoren identifiziert hat. Sämtliche dieser Schwachstellen wurden in den aktualisierten Versionen behoben. Dies unterstreicht, dass ein Update auf cPanel Plugin 2.4.7 (und nicht nur auf 2.4.5 mit dem ursprünglichen Patch) die bevorzugte Option darstellt.

Administratoren von Servern mit LiteSpeed und cPanel sollten das Update auf WHM Plugin 5.3.1.0 mit cPanel Plugin 2.4.7 als dringend anstehende Aufgabe betrachten. Jede Stunde Verzögerung bei einer bestätigten aktiv ausgenutzten Root-Schwachstelle ist ein Zeitfenster für die vollständige Kompromittierung des Servers und aller darauf gehosteten Ressourcen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen