CVE-2026-48172: Kritische Litespeed-Lücke
Eine maximal kritische Sicherheitslücke mit CVSS-Score 10.0 im LiteSpeed User-End cPanel Plugin wird aktuell aktiv ausgenutzt. Betroffene Server sind in akuter Gefahr – sofortiges Handeln ist erforderlich.
Was ist das LiteSpeed cPanel Plugin?
Das LiteSpeed User-End cPanel Plugin ist eine Erweiterung für cPanel-Webhosting-Umgebungen, die Endbenutzern ermöglicht, LiteSpeed-Webserver-Funktionen direkt aus ihrer cPanel-Oberfläche zu verwalten. Dazu gehören Features wie Redis-Caching, Cache-Verwaltung und Server-Einstellungen. Das Plugin wird häufig von Shared-Hosting-Providern und Resellern eingesetzt, um Kunden erweiterte Performance-Optionen anzubieten.
Was genau ist die Schwachstelle?
Die als CVE-2026-48172 klassifizierte Sicherheitslücke ist eine falsche Privilegienzuweisung (Improper Privilege Assignment) mit einem CVSS-Score von 10.0 – der höchstmöglichen Bewertung.
Technische Details
Die Schwachstelle befindet sich in der Funktion lsws.redisAble, die über cPanels JSON-API erreichbar ist. Diese Funktion wurde für das Ein- und Ausschalten von Redis für Benutzerkonten entwickelt. Durch unsachgemäße Rechteprüfung kann ein authentifizierter cPanel-Benutzer – einschließlich kompromittierter Konten – beliebige Skripte mit Root-Rechten ausführen.
Wichtig: Die Schwachstelle erfordert keine komplexe Exploitation. Ein einziger manipulierter API-Aufruf genügt, um vollen Serverzugriff zu erlangen.
Betroffene Versionen
| Plugin | Betroffene Versionen | Gepatchte Version |
|---|---|---|
| LiteSpeed User-End cPanel Plugin | 2.3 – 2.4.4 | 2.4.7 (via WHM Plugin 5.3.1.0) |
| LiteSpeed WHM Plugin | nicht betroffen | 5.3.1.0 |
Wer ist betroffen?
Die Lücke betrifft primär:
- Shared-Hosting-Provider, die LiteSpeed mit cPanel einsetzen
- Reseller, die cPanel-basierte Hosting-Dienste anbieten
- Alle Benutzer auf betroffenen Servern – bei erfolgreicher Ausnutzung ist die gesamte Server-Infrastruktur kompromittiert
Risikofaktoren:
- Multi-Tenant-Umgebungen sind besonders gefährdet
- Ein einzelner kompromittierter Account kann alle anderen Mandanten gefährden
- Datenbanken, Konfigurationen und sensible Daten stehen potenziell offen
Aktive Ausnutzung bestätigt
LiteSpeed hat offiziell bestätigt, dass die Schwachstelle aktiv ausgenutzt wird. Die Entdeckung erfolgte am 19. Mai 2026, die CVE wurde am 20. Mai 2026 beantragt.
Timeline
| Datum | Ereignis |
|---|---|
| 19. Mai 2026 | Schwachstelle gemeldet, cPanel deaktiviert Plugin automatisch |
| 19. Mai 2026 | Erste Patches veröffentlicht (v2.4.6 / WHM 5.3.0.0) |
| 20. Mai 2026 | CVE-2026-48172 beantragt |
| 21. Mai 2026 | Vollständige Sicherheitsüberprüfung abgeschlossen, finale Patches (v2.4.7 / WHM 5.3.1.0) |
Was müssen Sie tun?
Sofortmaßnahmen
- Update durchführen
- Upgrade auf LiteSpeed WHM Plugin v5.3.1.0 (bundled mit cPanel Plugin v2.4.7)
- Verfügbar über das LiteSpeed Auto-Update oder manuell
- Kompromittierung prüfen
Führen Sie folgenden Befehl auf Ihrem Server aus:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null- Keine Ausgabe = Keine Kompromittierung feststellbar
- Ausgabe vorhanden = Untersuchen Sie die IP-Adressen, blockieren Sie verdächtige IPs und prüfen Sie System-Logs
Alternative (wenn Update nicht möglich)
Deinstallation des User-End Plugins:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallFazit
CVE-2026-48172 stellt eine der schwerwiegendsten Sicherheitslücken im Webhosting-Bereich dar. Mit einem CVSS-Score von 10.0 und aktiver Ausnutzung in freier Wildbirde besteht akute Handlungsbedarf für alle Betreiber cPanel-basierter Server mit LiteSpeed-Integration.
Die Empfehlung ist eindeutig:
- Sofortiges Update auf Version 2.4.7
- Log-Überprüfung auf Anzeichen einer Kompromittierung
- Langfristig: Überprüfung des Sicherheitskonzepts für Shared-Hosting-Umgebungen
Kommentar abschicken