Den Kern der Schwachstelle bildet eine inkorrekte Rechtevergabe. Laut LiteSpeed kann „jeder cPanel-Nutzer (einschließlich eines Angreifers oder eines kompromittierten Kontos) die Funktion lsws.redisAble ausnutzen, um beliebige Skripte als Root auszuführen". Damit lassen sich Befehle mit den höchsten Systemrechten absetzen.
Betroffen ist ausschließlich das User-End cPanel Plugin in den Versionen 2.3 bis 2.4.4. Das WHM-Plugin von LiteSpeed bleibt nach Angaben des Herstellers unberührt. Die erste korrigierte Fassung des cPanel-Plugins ist Version 2.4.5. Als Entdecker und Melder der Lücke nennt LiteSpeed den Sicherheitsforscher David Strydom.
Zur laufenden Ausnutzung hielt sich der Hersteller bedeckt. LiteSpeed bestätigte lediglich, dass die „Schwachstelle aktiv ausgenutzt wird", ohne weitere Details zu nennen. Zur Erkennung stellt das Unternehmen einen Kompromittierungsindikator bereit: Bleibt der genannte „grep"-Befehl ohne Ausgabe, ist der Server nicht betroffen. Liefert er hingegen Treffer, sollten Nutzer die aufgeführten IP-Adressen prüfen, auf ihre Legitimität bewerten und nicht vertrauenswürdige Adressen blockieren.
Im Zuge des Vorfalls unterzog LiteSpeed seine cPanel- und WHM-Plugins einer Sicherheitsprüfung. Dabei wurden in beiden Plugins weitere potenzielle Angriffswege geschlossen. Das Ergebnis ist die cPanel-Plugin-Version 2.4.7, die als Bestandteil der WHM-Plugin-Version 5.3.1.0 ausgeliefert wird.
Zur Behebung empfiehlt LiteSpeed das Upgrade auf die WHM-Plugin-Version 5.3.1.0, die das cPanel-Plugin in Version 2.4.7 oder höher enthält. Ist ein sofortiges Einspielen nicht möglich, rät der Hersteller, das User-End-Plugin per Befehl zu entfernen.
Der Fall reiht sich in eine weitere kürzlich aktiv ausgenutzte cPanel-Schwachstelle ein: CVE-2026-41940 (CVSS-Wert 9.8) wurde von bislang unbekannten Angreifern missbraucht, um Varianten des Mirai-Botnets sowie eine Ransomware namens Sorry auszubringen.
