CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-48172

LiteSpeed cPanel Plugin — privilege escalation (możliwe root) via Redis

CVSS 10.0v4.0pub. 2026-05-21upd. 2026-05-26

Wtyczka LiteSpeed User-End cPanel Plugin w wersjach przed 2.4.5 zawiera podatność umożliwiającą privilege escalation, potencjalnie do poziomu root. Błąd był aktywnie eksploatowany w środowisku produkcyjnym w maju 2026 roku.

Pokaż oryginał (EN)

LiteSpeed User-End cPanel Plugin before 2.4.5 allows privilege escalation (possibly to root), as exploited in the wild in May 2026. Detection is best done via a command line of grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null in Bash. If you get no output, you have not been hit with exploitation of the vulnerability. If there is output, we recommend you examine the IP addresses in the list, determine if they are valid IP addresses, and if not, block them. To determine damage done, examine the system logs for use by the detected IP addresses. The issue is related to mishandling of Redis enable/disable features. The recommended minimum version is 2.4.7.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi funkcji włączania i wyłączania Redis (redis enable/disable) w komponencie cPanel API. Atakujący może nadużyć parametru 'cpanel_jsonapi_func=redisAble', aby uzyskać podwyższone uprawnienia w systemie. Błąd jest sklasyfikowany jako CWE-266 (nieprawidłowe zarządzanie uprawnieniami). Exploit nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Atakujący może uzyskać podwyższone uprawnienia w systemie, potencjalnie do poziomu root, co daje pełną kontrolę nad serwerem. Umożliwia to m.in. odczyt i modyfikację danych, instalację złośliwego oprogramowania oraz dalszy lateral movement w infrastrukturze.

Mitygacja

Należy natychmiast zaktualizować wtyczkę LiteSpeed User-End cPanel Plugin do wersji 2.4.7 lub nowszej. Producent zaleca również przeprowadzenie weryfikacji czy system był celem ataku poprzez wykonanie polecenia: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null — brak wyników oznacza brak eksploatacji. W przypadku wykrycia wyników należy przeanalizować powiązane adresy IP, zablokować te nieprawidłowe/podejrzane oraz przejrzeć logi systemowe pod kątem aktywności z wykrytych adresów.

Kogo dotyczy

LiteSpeed User-End cPanel Plugin w wersjach przed 2.4.5 (zalecana minimalna wersja bezpieczna: 2.4.7)

Uwagi

Podatność była aktywnie eksploatowana w środowisku produkcyjnym w maju 2026 roku (zgodnie z opisem EN: 'as exploited in the wild in May 2026'). Producent udostępnił szczegółowe instrukcje detekcji incydentu oparte na analizie logów cPanel. Mimo aktywnej eksploatacji w momencie publikacji, pole CISA KEV w metadanych wynosi NIE.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Litespeedtech Litespeed Cpanel Plugin

    APP
    Litespeedtech
    < 2.4.7
  • Litespeedtech Litespeed Whm Plugin

    APP
    Litespeedtech
    < 5.3.1.0

CISA KEV — szczegółyi

Dostawcai
LiteSpeed
Produkti
cPanel Plugin
Data dodania do KEVi
26 maja 2026
Termin remediation (USA)i
29 maja 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Wtyczka LiteSpeed cPanel zawiera lukę umożliwiającą eskalację uprawnień, która jest ujawniona przez wtyczkę cPanel po stronie użytkownika i może być wykorzystana przez dowolne konto użytkownika cPanel do wykonania dowolnych skryptów z uprawnieniami root.

tłumaczenie AI
Pokaż oryginał (EN)

LiteSpeed cPanel Plugin contains privilege escalation vulnerability that is exposed via the user-end cPanel plugin, which can be abused by any cPanel user account to execute arbitrary scripts with root privileges.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 29 maja 2026
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2026-54420HIGH8.5⚠ KEVten sam produkt

LiteSpeed cPanel plugin before 2.4.8 (as distributed in LiteSpeed WHM PlugIn before 5.3.2.0) mishandles symlin...

CVE-2024-44000CRITICAL9.8PL ✓ten sam vendor

LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania

CVE-2024-28000CRITICAL9.8PL ✓ten sam vendor

Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress

CVE-2024-25678CRITICAL9.8PL ✓ten sam vendor

Błędna walidacja DCID w bibliotece LiteSpeed QUIC (LSQUIC)

CVE-2022-30592CRITICAL9.8ten sam vendor

liblsquic/lsquic_qenc_hdl.c in LiteSpeed QUIC (aka LSQUIC) before 3.1.0 mishandles MAX_TABLE_CAPACITY.

CVE-2026-48172 — LiteSpeed cPanel Plugin — privilege escalation (możliwe root) via Redis — CRITICAL 10.0 | CVEbaza.pl