CVE-2026-48172: ejecución de código root vía LiteSpeed User-End cPanel Plugin

Foto del autor

CyberSecureFox Editorial Team

La vulnerabilidad crítica CVE-2026-48172 con puntuación CVSS máxima de 10.0 en el plugin LiteSpeed User-End cPanel Plugin está siendo explotada activamente por atacantes. Un error de asignación incorrecta de privilegios permite a cualquier usuario de cPanel —incluida una cuenta ya comprometida— ejecutar scripts arbitrarios con privilegios de root mediante la función lsws.redisAble. Se ven afectadas todas las versiones del plugin desde la 2.3 hasta la 2.4.4. Los administradores de servidores con LiteSpeed deben actualizar de inmediato al cPanel Plugin versión 2.4.7 (incluido en WHM Plugin 5.3.1.0) o eliminar el plugin de usuario si no es posible aplicar la actualización con rapidez.

Análisis técnico de la vulnerabilidad

Según el aviso oficial de LiteSpeed, la raíz del problema reside en el mecanismo de asignación de privilegios (CWE: Incorrect Privilege Assignment). La función lsws.redisAble, accesible a través del API de cPanel, no realiza una comprobación adecuada de las autorizaciones del usuario que la invoca. Como resultado, cualquier usuario autenticado de cPanel puede pasar a través de esta función un script arbitrario que se ejecutará en el contexto del superusuario (root).

Parámetros clave de la vulnerabilidad:

  • Identificador: CVE-2026-48172
  • Puntuación CVSS: 10.0 (criticidad máxima)
  • Producto afectado: LiteSpeed User-End cPanel Plugin versiones 2.3 — 2.4.4
  • No afectado: LiteSpeed WHM Plugin (en lo referente a la vulnerabilidad original)
  • Estado de explotación: explotación activa confirmada en entornos reales
  • Corregido en: cPanel Plugin 2.4.5 (primer parche), cPanel Plugin 2.4.7 como parte de WHM Plugin 5.3.1.0 (corrección ampliada)

La puntuación CVSS 10.0 refleja la combinación de varios factores: bajo umbral de entrada para el atacante (basta con cualquier cuenta de cPanel), compromiso completo del sistema (ejecución de código como root), ausencia de necesidad de interacción con el usuario y vector de ataque a través de la red. El descubrimiento de la vulnerabilidad se atribuye al investigador de seguridad David Strydom.

Por qué esta vulnerabilidad es especialmente peligrosa

La combinación de varios factores convierte a CVE-2026-48172 en una de las amenazas más graves para la infraestructura de hosting:

Alcance potencial del impacto. LiteSpeed Web Server es uno de los servidores web más extendidos en el segmento de hosting virtual, y cPanel sigue siendo el panel de administración dominante en servidores de alojamiento compartido. En un solo servidor con cPanel pueden alojarse cientos de cuentas de clientes. El compromiso del acceso root en un servidor de este tipo implica el control total sobre todos los sitios alojados, bases de datos, buzones de correo y certificados SSL.

Bajo umbral de explotación. Para llevar a cabo el ataque no se requiere acceso privilegiado: basta con una cuenta estándar de cPanel. En los servidores de alojamiento compartido este tipo de cuentas se crea de forma masiva, y su compromiso mediante phishing o filtraciones de contraseñas es un fenómeno rutinario. Esto significa que un atacante puede utilizar cualquier cuenta de hosting comprometida como punto de apoyo para tomar el control completo del servidor.

Explotación confirmada. LiteSpeed indica de forma explícita que la vulnerabilidad ya se está utilizando en ataques, aunque no se revelan los detalles de las campañas ni el perfil de los atacantes.

Detección de compromiso

LiteSpeed ha proporcionado un indicador de compromiso en forma de comando para buscar rastros de explotación en los logs de cPanel:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Interpretación de los resultados:

  • Sin salida — no se han encontrado rastros de explotación mediante este vector en los logs. Debe tenerse en cuenta que esto no garantiza la ausencia de compromiso: los logs podrían haberse limpiado y la comprobación del proveedor puede no cubrir todos los escenarios de ataque.
  • Con salida — es necesario analizar las direcciones IP presentes en los resultados, determinar si son legítimas y bloquear aquellas que resulten sospechosas. También se recomienda realizar una auditoría completa del servidor para detectar backdoors instalados, archivos de sistema modificados y cuentas no autorizadas.

Recomendaciones de mitigación

Prioridad: respuesta inmediata. Dada la explotación activa confirmada y la puntuación de criticidad máxima, la actualización debe aplicarse en el plazo más breve posible.

  1. Actualice los plugins. Instale LiteSpeed WHM Plugin versión 5.3.1.0, que incluye cPanel Plugin versión 2.4.7. Esta versión no solo corrige CVE-2026-48172, sino que también incorpora parches para vectores de ataque adicionales potenciales identificados por LiteSpeed durante la auditoría interna de seguridad realizada tras el descubrimiento de la vulnerabilidad principal.
  2. Si la actualización inmediata no es posible, elimine el plugin de usuario con el siguiente comando: 
    /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
  3. Revise los logs en busca de rastros de explotación utilizando el comando grep indicado más arriba.
  4. Si se detectan indicios de compromiso, bloquee las direcciones IP identificadas, realice una auditoría de los archivos de sistema y de las cuentas, y revise las tareas de cron y los mecanismos de inicio automático en busca de mecanismos de persistencia.
  5. Considere restringir el acceso a la interfaz de cPanel por direcciones IP mediante el firewall como medida de protección adicional.

Es significativo que, tras el descubrimiento de CVE-2026-48172, LiteSpeed llevara a cabo una auditoría de seguridad ampliada de ambos plugins —cPanel y WHM— y detectara vectores de ataque potenciales adicionales. Todos ellos se han corregido en las versiones actualizadas. Esto subraya que la actualización a cPanel Plugin 2.4.7 (y no solo a la 2.4.5, que contiene el parche original) es la opción preferente.

Los administradores de servidores con LiteSpeed y cPanel deben considerar la actualización a WHM Plugin 5.3.1.0 con cPanel Plugin 2.4.7 como una tarea urgente. Cada hora de retraso, en un contexto de explotación activa confirmada de una vulnerabilidad con privilegios de root, es una ventana de oportunidad para la completa toma de control del servidor y de todos los recursos alojados en él.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio