LiteSpeed User-End cPanelプラグインの重大なゼロデイ特権昇格脆弱性が現在野放し状態で積極的に悪用されており、認証されたcPanelユーザーが任意のスクリプトをrootとして実行し、サーバーを完全に制御することができます。
CVE-2026-48172として追跡されており、最大CSSVスコア10.0を持つこの脆弱性は2026年5月21日の時点で修正されています。
根本的な原因は、プラグインのlsws.redisAble JSON-APIエンドポイントの論理的欠陥であり、デフォルトではログインしているすべてのcPanelユーザーに公開されています。
LiteSpeed cPanelプラグイン0デイが悪用される。
勝つべきレース条件もなく、橋を渡すべき認証ギャップもありません。正しいパラメータ値を持つ1つの不正なAPIコールが、攻撃者がrootに昇格するのに十分です。このバグは、すべてのテナントが既に有効なcPanelセッションを持つ共有ホスティング環境では特に危険です。
注目すべきことに、初期の勧告では、LiteSpeedのWHMプラグインが影響を受けないと述べられていました。しかし、5月21日のフォローアップでそのポジションが改正されました。包括的なセキュリティレビューでは、両方のプラグインの追加の潜在的な脆弱性が明らかになりましたが、これらは悪用されたと報告されていません。
低特権ユーザーまたは侵害されたテナントアカウントを持つ攻撃者を含む、任意のcPanelアカウントがこの脆弱性を悪用してルートレベルアクセスを取得でき、完全なシステム侵害、データ流出、バックドアのインストール、および横展開が可能になります。
攻撃対象は広範です。cPanelは世界中で数百万の共有ホスティングサーバーを支えており、LiteSpeed User-Endプラグインは、そのキャッシング機能によりホスティングフリート全体に広く展開されています。
攻撃はcPanelのアクセスログに検出可能な痕跡を残します。サーバー管理者は以下のIOC検出コマンドをすぐに実行する必要があります。
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null何らかの出力は悪用の試みの可能性を示しています。出力が見つかった場合は、ホストを侵害されたものとして扱い、ルートパスワードやSSHキーを含むすべての認証情報をローテーションし、cronジョブとauthorized_keysを不正な追加がないか監査してください。
スケジュール済みのTSRウィンドウの5時間前にフリート全体のアンインストールを強制するというcPanelの決定は、リアルタイム悪用の重大性を強調しています。
LiteSpeedの勧告は、22日間続き、cPanelエコシステム全体で8つの勧告イベントを含む、2026年5月のより広い脆弱性の連続の一部です。これには、重大な認証前バイパスCVE-2026-41940(CVSS 9.8)が含まれます。
対策
管理者は、cPanelプラグインv2.4.7にバンドルされているLiteSpeed WHMプラグインv5.3.1.0にすぐにアップグレードする必要があります。完全なcPanelアップデートを強制するには、以下を実行してください。
/scripts/upcp --forceアップグレードせずに脆弱性のあるプラグインをすぐに削除するには、以下を使用してください。
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallLiteSpeedはまた、cPanel/WebProsチームと調整して、より広いセキュリティレビューを完了し、追加の潜在的な攻撃ベクトルを事前に修正しました。これらのうち、悪用されたと報告されたものはありません。
次のリンクでフォローしてくださいGoogle News、LinkedIn、およびXでインスタント更新を取得し、GoogleでGBHを優先ソースとして設定します。
翻訳元: https://gbhackers.com/litespeed-cpanel-plugin-0-day-exploited/
