LiteSpeed User-End cPanelプラグインに存在する深刻なゼロデイ権限昇格脆弱性が活発に悪用されています。CVE-2026-48172として追跡されており、CVSSスコアは最高値の10.0を記録。この欠陥は認証済みのcPanelユーザーであれば誰でも、rootとして任意のスクリプトを実行できる状態にします。
この脆弱性を受けてcPanelは緊急対応措置を講じ、予定していたセキュリティリリース窓口の5時間前にフリート全体でのアンインストールを強制実施しました。包括的なパッチは2026年5月21日に正式リリースされました。
CVE-2026-48172の根本原因は、プラグインのlsws.redisAble JSON-APIエンドポイントに存在するロジック上の欠陥に起因しています。
この特定のエンドポイントはデフォルトですべてのログイン済みcPanelユーザーに公開されており、攻撃対象領域が大幅に拡大しています。悪用は非常に容易で、認証の隙を突いたり競合状態を狙ったりする必要はありません。
攻撃者は特定のパラメータ値を含む単一の不正なAPIコールを送信するだけで、権限をrootアクセスに昇格させることができます。
この脆弱性は、1台のサーバー上に数百のテナントが有効なcPanelセッションを持つ共有ホスティング環境に壊滅的な脅威をもたらします。
低権限ユーザーや基本テナントアカウントを侵害した脅威アクターであれば、この脆弱性を容易に悪用してサーバーの完全な制御権を取得できます。
LiteSpeed User-Endプラグインはそのキャッシュ機能により多くのホスティング環境に広く展開されており、世界中の数百万台の共有ホスティングサーバーがリスクにさらされています。
悪用に成功した場合、大規模なデータ窃取、永続的バックドアの設置、ネットワーク内の横方向への移動など、深刻なシステム侵害が引き起こされます。
当初のセキュリティアドバイザリでは、LiteSpeed WHMプラグインはこのロジック上の欠陥の影響を受けないとされていました。しかし5月21日に完了した包括的なセキュリティレビューにより、cPanelおよびWHMの両プラグインに追加の潜在的脆弱性が発見されました。
LiteSpeedおよびcPanel/WebProсチームは、新たに発見されたこれらの攻撃ベクトルに対して予防的なパッチを適用しましたが、いずれも実際の悪用は確認されていません。
今回のインシデントは、ホスティングインフラにとって脅威の高い時期に発生しました。LiteSpeedのアドバイザリは、cPanelエコシステム全体で22日間にわたり8件の個別勧告が発出された2026年5月の深刻な脆弱性の連続に加わる形となっています。
悪用の試みはcPanelのアクセスログ内に検出可能な痕跡を残します。LiteSpeedのアドバイザリによると、サーバー管理者は環境が侵害されていないかを確認するため、不審なAPIアクティビティを直ちにスキャンする必要があります。
管理者は最新パッチの適用または脆弱性のあるコンポーネントの完全な削除により、インフラのセキュリティ確保を最優先で実施しなければなりません。
翻訳元: https://cyberpress.org/litespeed-cpanel-plugin-zero-day-exploited/