Критическая уязвимость CVE-2026-48172 с максимальным рейтингом CVSS 10.0 в плагине LiteSpeed User-End cPanel Plugin активно эксплуатируется злоумышленниками. Ошибка некорректного назначения привилегий позволяет любому пользователю cPanel — включая скомпрометированную учётную запись — выполнять произвольные скрипты с правами root через функцию lsws.redisAble. Затронуты все версии плагина от 2.3 до 2.4.4. Администраторам серверов с LiteSpeed необходимо немедленно обновиться до cPanel Plugin версии 2.4.7 (в составе WHM Plugin 5.3.1.0) или удалить пользовательский плагин, если обновление невозможно выполнить оперативно.

Технический разбор уязвимости

Согласно официальному уведомлению LiteSpeed, корень проблемы — в механизме назначения привилегий (CWE: Incorrect Privilege Assignment). Функция lsws.redisAble, доступная через API cPanel, не выполняет должной проверки полномочий вызывающего пользователя. В результате любой аутентифицированный пользователь cPanel может передать через эту функцию произвольный скрипт, который будет исполнен в контексте суперпользователя (root).

Ключевые параметры уязвимости:

• Идентификатор: CVE-2026-48172
• Оценка CVSS: 10.0 (максимальная критичность)
• Затронутый продукт: LiteSpeed User-End cPanel Plugin версий 2.3 — 2.4.4
• Не затронут: LiteSpeed WHM Plugin (в части исходной уязвимости)
• Статус эксплуатации: подтверждённая активная эксплуатация в дикой природе
• Исправлено в: cPanel Plugin 2.4.5 (первоначальный патч), cPanel Plugin 2.4.7 в составе WHM Plugin 5.3.1.0 (расширенное исправление)

Оценка CVSS 10.0 отражает совокупность факторов: низкий барьер входа для атакующего (достаточно любой учётной записи cPanel), полная компрометация системы (выполнение кода от root), отсутствие необходимости взаимодействия с пользователем и сетевой вектор атаки. Обнаружение уязвимости приписывается исследователю безопасности Дэвиду Страйдому (David Strydom).

Почему эта уязвимость особенно опасна

Сочетание нескольких факторов делает CVE-2026-48172 одной из наиболее серьёзных угроз для хостинг-инфраструктуры:

Масштаб потенциального воздействия. LiteSpeed Web Server — один из наиболее распространённых веб-серверов в сегменте виртуального хостинга, а cPanel остаётся доминирующей панелью управления на серверах shared-хостинга. На одном сервере с cPanel могут размещаться сотни клиентских аккаунтов. Компрометация root-доступа на таком сервере означает полный контроль над всеми размещёнными сайтами, базами данных, почтовыми ящиками и SSL-сертификатами.

Низкий порог эксплуатации. Для атаки не требуется привилегированный доступ — достаточно обычной учётной записи cPanel. На серверах shared-хостинга такие аккаунты создаются массово, а их компрометация через фишинг или утечки паролей — рутинное явление. Это означает, что злоумышленник может использовать любую скомпрометированную учётную запись хостинга как плацдарм для полного захвата сервера.

Подтверждённая эксплуатация. LiteSpeed прямо указывает, что уязвимость уже используется в атаках, хотя детали кампаний и профиль атакующих не раскрываются.

Обнаружение компрометации

LiteSpeed предоставил индикатор компрометации в виде команды для поиска следов эксплуатации в логах cPanel:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Интерпретация результатов:

• Нет вывода — следы эксплуатации через данный вектор в логах не обнаружены. Следует учитывать, что это не гарантирует отсутствие компрометации — логи могли быть очищены, а вендорская проверка может не покрывать все сценарии атак.
• Есть вывод — необходимо проанализировать IP-адреса в результатах, определить их легитимность и заблокировать подозрительные. Рекомендуется также провести полный аудит сервера на предмет установленных бэкдоров, изменённых системных файлов и несанкционированных учётных записей.

Рекомендации по устранению

Приоритет: немедленное реагирование. Учитывая подтверждённую активную эксплуатацию и максимальный рейтинг критичности, обновление должно быть выполнено в кратчайшие сроки.

1. Обновите плагины. Установите LiteSpeed WHM Plugin версии 5.3.1.0, который включает cPanel Plugin версии 2.4.7. Эта версия содержит не только исправление CVE-2026-48172, но и патчи для дополнительных потенциальных векторов атак, выявленных LiteSpeed в ходе внутреннего аудита безопасности после обнаружения основной уязвимости.
2. Если немедленное обновление невозможно — удалите пользовательский плагин командой:

   /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

3. Проверьте логи на наличие следов эксплуатации с помощью указанной выше команды grep.
4. При обнаружении следов компрометации — заблокируйте выявленные IP-адреса, проведите аудит системных файлов и учётных записей, проверьте cron-задания и автозагрузку на наличие закрепления (persistence).
5. Рассмотрите ограничение доступа к интерфейсу cPanel по IP-адресам через файрвол как дополнительную меру защиты.

Примечательно, что после обнаружения CVE-2026-48172 LiteSpeed провёл расширенный аудит безопасности обоих плагинов — cPanel и WHM — и выявил дополнительные потенциальные векторы атак. Все они были устранены в обновлённых версиях. Это подчёркивает, что обновление до cPanel Plugin 2.4.7 (а не только до 2.4.5, содержащего первоначальный патч) является предпочтительным вариантом.

Администраторам серверов с LiteSpeed и cPanel следует рассматривать обновление до WHM Plugin 5.3.1.0 с cPanel Plugin 2.4.7 как неотложную задачу. Каждый час промедления при подтверждённой активной эксплуатации уязвимости с правами root — это окно для полной компрометации сервера и всех размещённых на нём ресурсов.