CISA bestätigt aktive Angriffe auf LiteSpeed-cPanel-Plugin Kritische LiteSpeed-Lücke mit CVSS 10.0 wird aktiv ausgenutzt

Anbieter zum Thema

FTAPI Software GmbH

Die kritische Sicherheitslücke CVE-2026-48172 im LiteSpeed cPanel-Plugin ermöglicht jedem cPanel-Konto über die Redis-API die Ausführung be­lie­bi­ger Skripte mit Root-Rechten. Die Lücke hat den maximalen CVSS-Wert 10.0 und wird von CISA als bekannt ausgenutzte Schwachstelle geführt. Patches sind verfügbar, Betreiber betroffener Hosting-Server sollten umgehend aktualisieren.

LiteSpeed Technologies hat eine Sicherheitslücke im User-End-Plugin für cPanel offengelegt, die unter der Kennung CVE-2026-48172 geführt wird. Der Hersteller stuft den Fehler als Rechteausweitung ein und stellt einen Patch sowie eine Übergangslösung bereit. MITRE vergibt nach CVSS 4.0 den Höchstwert 10.0 und ordnet die Schwachstelle der Kategorie CWE-266 für eine fehlerhafte Privilegienzuweisung zu. Die US-Behörde CISA führt den Eintrag als bekannt ausgenutzte Schwachstelle.

„Dirty Frag“

Exploit ermöglicht Root-Zugriff auf gängigen Linux-Distributionen

Rechteausweitung über die Redis-Funktion

Den Kern bildet ein Fehler bei der Behandlung der Funktion zum Aktivieren und Deaktivieren von Redis. Über den API-Aufruf lsws.redisAble kann jedes cPanel-Konto beliebige Skripte mit Root-Rechten ausführen. Ein Angreifer mit Zugang zu einem regulären Hosting-Account oder einem bereits übernommenen Konto erlangt damit die volle Kontrolle über das System. Der CVSS-Vektor beschreibt einen Angriff über das Netzwerk, ohne Vorrechte und ohne Interaktion eines Anwenders, bei vollständigem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit.

Betroffene Versionen und aktive Angriffe

Anfällig sind die Versionen 2.3 bis 2.4.4 des User-End-Plugins für cPanel. Das separate WHM-Plugin ist in Ausgaben vor 5.3.1.0 betroffen. LiteSpeed bestätigt aktive Angriffe seit Mai 2026. Nach einer ersten Korrektur in Version 2.4.5 prüfte der Hersteller gemeinsam mit dem cPanel-Team weitere Angriffspunkte und schloss zusätzliche Vektoren proaktiv. Für diese ergänzenden Lücken liegen nach Herstellerangaben keine Hinweise auf eine Ausnutzung vor.

Untersuchung von Qualys

9 Schwachstellen bedrohen Millionen Linux-Systeme

Erkennung kompromittierter Systeme

Administratoren prüfen mit einem einzelnen Befehl, ob ein Server angegriffen wurde. Der Scan durchsucht die cPanel-Protokolle nach Aufrufen der verwundbaren Funktion:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Bleibt die Ausgabe leer, gab es keinen Angriff über diese Funktion. Liefert der Scan Treffer, bewerten Administratoren die enthaltenen IP-Adressen, sperren unplausible Adressen und untersuchen die Systemprotokolle auf Aktionen der erkannten Quellen.

Korrigierte Versionen und Übergangslösung

Den vollständigen Schutz bietet das WHM-Plugin in Version 5.3.1.0, gebündelt mit dem cPanel-Plugin in Version 2.4.7. LiteSpeed empfiehlt diese Ausgabe als Mindeststand, da sie neben der gemeldeten Lücke auch die proaktiv geschlossenen Vektoren abdeckt. Ist ein sofortiges Update nicht möglich, lässt sich das User-End-Plugin über die Administrationskonsole entfernen.

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Das cPanel-Team verteilte bereits am 19.05.2026 einen automatischen Deinstallationsbefehl über das nächtliche Update und begrenzte damit die Reichweite der Angriffe.

EUVD-2026-24742 / CVE-2026-41651

Telekom entdeckt 12 Jahre alte Linux-Root-Schwachstelle

Fazit

CVE-2026-48172 verbindet einen einfachen Angriffsweg mit dem maximalen Schadens­po­ten­zi­al. Die kurze Reaktionskette von der Meldung am 19.05.2026 bis zur finalen Korrektur am 21.05.2026 begrenzte die Ausnutzung. Der hohe Verbreitungsgrad von cPanel auf Shared-Hosting-Plattformen hält das Risiko für nicht aktualisierte Server dennoch hoch.

(ID:50858777)