米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2026年5月26日にCVE-2026-48172を既知の悪用脆弱性(KEV)カタログに正式に追加し、修正期限を2026年5月29日、わずか3日間と設定しました。
CVE-2026-48172は最高深刻度の権限昇格の脆弱性(CVSSv4.0: 10.0)であり、LiteSpeed User-End cPanelプラグインのバージョン2.3から2.4.4に存在します。
CWE-266(不正な権限割り当て)に分類されるこの脆弱性は、プラグインのJSON APIを通じて公開されているRedisのオン/オフ機能の不適切な処理に起因しています。
具体的には、lsws.redisAble関数を標的とした細工されたリクエストにより、ユーザーが入力した内容が検証チェックを完全に回避してroot権限で実行されるバックエンド操作に到達します。
低権限アカウントや侵害されたアカウントを含む、認証済みのcPanelユーザーであれば誰でも、この脆弱性を悪用してrootとして任意のスクリプトを実行し、サーバーを完全に制御することができます。
注目すべき点として、LiteSpeed WHMプラグイン自体は脆弱ではありませんが、影響を受けるユーザーエンドコンポーネントをバンドルしています。CVE-2026-48172の実際の悪用は2026年5月に確認され、CISAが緊急アドバイザリを発行しました。
1台のサーバーに数百のcPanelアカウントが共存する共有ホスティング環境では、1つの侵害されたアカウントによってサーバー全体が乗っ取られ、共同ホスティングされているすべてのウェブサイト、データベース、およびシステムに保存された認証情報が危険にさらされる可能性があります。
管理者はTenableが推奨する以下のBashコマンドを使用して、悪用の試みを直ちにスキャンできます。
このコマンドから何らかの出力がある場合、悪用の可能性を示しています。管理者はただちに不審なIPアドレスを検証し、不正なソースをブロックし、権限昇格や不正な設定変更の証拠についてシステムログを調査する必要があります。
LiteSpeed Technologiesは2026年5月21日にセキュリティパッチをリリースしました。CISAカタログによると、組織は以下のいずれかの対応を取る必要があります。
CVSSスコア10.0、および世界中の共有・VPSホスティングインフラ全体での実際の悪用が確認されたCVE-2026-48172は、2026年においてホスティング事業者およびマネージドサービスプロバイダーにとって最も緊急性の高いパッチ適用の優先事項の一つです。組織はLiteSpeedの公式リリースログおよびCISAのKEVカタログで最新情報を継続的に確認してください。
翻訳元: https://cyberpress.org/exploited-litespeed-cpanel-plugin/
