Критична вразливість CVE-2026-48172 з максимальним рейтингом CVSS 10.0 у плагіні LiteSpeed User-End cPanel Plugin активно експлуатується зловмисниками. Помилка некоректного призначення привілеїв дає змогу будь-якому користувачу cPanel — включно зі скомпрометованим обліковим записом — виконувати довільні скрипти з правами root через функцію lsws.redisAble. Уразливі всі версії плагіна від 2.3 до 2.4.4. Адміністраторам серверів з LiteSpeed необхідно негайно оновитися до cPanel Plugin версії 2.4.7 (у складі WHM Plugin 5.3.1.0) або видалити користувацький плагін, якщо оновлення неможливо оперативно виконати.

Технічний розбір вразливості

Згідно з офіційним повідомленням LiteSpeed, корінь проблеми — у механізмі призначення привілеїв (CWE: Incorrect Privilege Assignment). Функція lsws.redisAble, доступна через API cPanel, не виконує належної перевірки повноважень користувача, що її викликає. У результаті будь-який автентифікований користувач cPanel може передати через цю функцію довільний скрипт, який буде виконано в контексті суперкористувача (root).

Ключові параметри вразливості:

• Ідентифікатор: CVE-2026-48172
• Оцінка CVSS: 10.0 (максимальна критичність)
• Уразливий продукт: LiteSpeed User-End cPanel Plugin версій 2.3 — 2.4.4
• Не уразливий: LiteSpeed WHM Plugin (у частині вихідної вразливості)
• Статус експлуатації: підтверджена активна експлуатація у реальному середовищі
• Виправлено у версіях: cPanel Plugin 2.4.5 (первинний патч), cPanel Plugin 2.4.7 у складі WHM Plugin 5.3.1.0 (розширене виправлення)

Оцінка CVSS 10.0 відображає сукупність чинників: низький поріг входу для атакувальника (достатньо будь-якого облікового запису cPanel), повна компрометація системи (виконання коду від імені root), відсутність потреби у взаємодії з користувачем та мережевий вектор атаки. Виявлення вразливості приписується досліднику безпеки Девіду Страйдому (David Strydom).

Чому ця вразливість особливо небезпечна

Поєднання кількох чинників робить CVE-2026-48172 однією з найсерйозніших загроз для хостинг-інфраструктури:

Масштаб потенційного впливу. LiteSpeed Web Server — один з найпоширеніших вебсерверів у сегменті віртуального хостингу, а cPanel залишається домінівною панеллю керування на серверах shared-хостингу. На одному сервері з cPanel можуть розміщуватися сотні клієнтських акаунтів. Компрометація доступу рівня root на такому сервері означає повний контроль над усіма розміщеними сайтами, базами даних, поштовими скриньками та SSL-сертифікатами.

Низький поріг експлуатації. Для атаки не потрібен привілейований доступ — достатньо звичайного облікового запису cPanel. На серверах shared-хостингу такі акаунти створюються масово, а їх компрометація через фішинг або витоки паролів — буденне явище. Це означає, що зловмисник може використати будь-який скомпрометований обліковий запис хостингу як плацдарм для повного захоплення сервера.

Підтверджена експлуатація. LiteSpeed прямо вказує, що вразливість уже використовується в атаках, хоча деталі кампаній і профіль атакувальників не розкриваються.

Виявлення компрометації

LiteSpeed надав індикатор компрометації у вигляді команди для пошуку слідів експлуатації в логах cPanel:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Інтерпретація результатів:

• Відсутній вивід — слідів експлуатації через цей вектор у логах не виявлено. Водночас слід враховувати, що це не гарантує відсутність компрометації — логи могли бути очищені, а перевірка від вендора може не охоплювати всі сценарії атак.
• Є вивід — необхідно проаналізувати IP-адреси в результатах, визначити їх легітимність і заблокувати підозрілі. Рекомендується також провести повний аудит сервера щодо встановлених бекдорів, змінених системних файлів і несанкціонованих облікових записів.

Рекомендації щодо усунення

Пріоритет: негайне реагування. З огляду на підтверджену активну експлуатацію та максимальний рейтинг критичності, оновлення слід виконати в найкоротші терміни.

1. Оновіть плагіни. Встановіть LiteSpeed WHM Plugin версії 5.3.1.0, який включає cPanel Plugin версії 2.4.7. Ця версія містить не лише виправлення CVE-2026-48172, а й патчі для додаткових потенційних векторів атак, виявлених LiteSpeed під час внутрішнього аудиту безпеки після виявлення основної вразливості.
2. Якщо негайне оновлення неможливе — видаліть користувацький плагін командою:

   /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

3. Перевірте логи на наявність слідів експлуатації за допомогою наведеної вище команди grep.
4. У разі виявлення слідів компрометації — заблокуйте виявлені IP-адреси, проведіть аудит системних файлів і облікових записів, перевірте cron-завдання та автозавантаження на предмет механізмів закріплення (persistence).
5. Розгляньте обмеження доступу до інтерфейсу cPanel за IP-адресами через фаєрвол як додатковий захід захисту.

Показово, що після виявлення CVE-2026-48172 LiteSpeed провів розширений аудит безпеки обох плагінів — cPanel і WHM — і виявив додаткові потенційні вектори атак. Усі вони були усунені в оновлених версіях. Це підкреслює, що оновлення до cPanel Plugin 2.4.7 (а не лише до 2.4.5, який містив первинний патч) є пріоритетним варіантом.

Адміністраторам серверів з LiteSpeed і cPanel слід розглядати оновлення до WHM Plugin 5.3.1.0 з cPanel Plugin 2.4.7 як невідкладне завдання. Кожна година зволікання за умов підтвердженої активної експлуатації вразливості з правами root — це вікно можливостей для повної компрометації сервера та всіх розміщених на ньому ресурсів.