Wtyczka LiteSpeed User-End cPanel Plugin w wersjach przed 2.4.5 zawiera podatność umożliwiającą privilege escalation, potencjalnie do poziomu root. Błąd był aktywnie eksploatowany w środowisku produkcyjnym w maju 2026 roku.
▸ Pokaż oryginał (EN)
LiteSpeed User-End cPanel Plugin before 2.4.5 allows privilege escalation (possibly to root), as exploited in the wild in May 2026. Detection is best done via a command line of grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null in Bash. If you get no output, you have not been hit with exploitation of the vulnerability. If there is output, we recommend you examine the IP addresses in the list, determine if they are valid IP addresses, and if not, block them. To determine damage done, examine the system logs for use by the detected IP addresses. The issue is related to mishandling of Redis enable/disable features. The recommended minimum version is 2.4.7.
Podatność wynika z nieprawidłowej obsługi funkcji włączania i wyłączania Redis (redis enable/disable) w komponencie cPanel API. Atakujący może nadużyć parametru 'cpanel_jsonapi_func=redisAble', aby uzyskać podwyższone uprawnienia w systemie. Błąd jest sklasyfikowany jako CWE-266 (nieprawidłowe zarządzanie uprawnieniami). Exploit nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni go szczególnie niebezpiecznym.
Atakujący może uzyskać podwyższone uprawnienia w systemie, potencjalnie do poziomu root, co daje pełną kontrolę nad serwerem. Umożliwia to m.in. odczyt i modyfikację danych, instalację złośliwego oprogramowania oraz dalszy lateral movement w infrastrukturze.
Należy natychmiast zaktualizować wtyczkę LiteSpeed User-End cPanel Plugin do wersji 2.4.7 lub nowszej. Producent zaleca również przeprowadzenie weryfikacji czy system był celem ataku poprzez wykonanie polecenia: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null — brak wyników oznacza brak eksploatacji. W przypadku wykrycia wyników należy przeanalizować powiązane adresy IP, zablokować te nieprawidłowe/podejrzane oraz przejrzeć logi systemowe pod kątem aktywności z wykrytych adresów.
LiteSpeed User-End cPanel Plugin w wersjach przed 2.4.5 (zalecana minimalna wersja bezpieczna: 2.4.7)
Podatność była aktywnie eksploatowana w środowisku produkcyjnym w maju 2026 roku (zgodnie z opisem EN: 'as exploited in the wild in May 2026'). Producent udostępnił szczegółowe instrukcje detekcji incydentu oparte na analizie logów cPanel. Mimo aktywnej eksploatacji w momencie publikacji, pole CISA KEV w metadanych wynosi NIE.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLitespeedtech Litespeed Cpanel Plugin
APPLitespeedtech< 2.4.7Litespeedtech Litespeed Whm Plugin
APPLitespeedtech< 5.3.1.0
CISA KEV — szczegółyi
- Dostawcai
- LiteSpeed
- Produkti
- cPanel Plugin
- Data dodania do KEVi
- 26 maja 2026
- Termin remediation (USA)i
- 29 maja 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub wstrzymaj używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Wtyczka LiteSpeed cPanel zawiera lukę umożliwiającą eskalację uprawnień, która jest ujawniona przez wtyczkę cPanel po stronie użytkownika i może być wykorzystana przez dowolne konto użytkownika cPanel do wykonania dowolnych skryptów z uprawnieniami root.
▸ Pokaż oryginał (EN)
LiteSpeed cPanel Plugin contains privilege escalation vulnerability that is exposed via the user-end cPanel plugin, which can be abused by any cPanel user account to execute arbitrary scripts with root privileges.
Powiązane podatności
LiteSpeed cPanel plugin before 2.4.8 (as distributed in LiteSpeed WHM PlugIn before 5.3.2.0) mishandles symlin...
LiteSpeed Cache – nieuwierzytelnione przejęcie konta przez ujawnione dane logowania
Privilege escalation bez uwierzytelnienia w LiteSpeed Cache dla WordPress
Błędna walidacja DCID w bibliotece LiteSpeed QUIC (LSQUIC)
liblsquic/lsquic_qenc_hdl.c in LiteSpeed QUIC (aka LSQUIC) before 3.1.0 mishandles MAX_TABLE_CAPACITY.