LiteSpeed hat die aktive Ausnutzung der Sicherheitslücke bestätigt, ohne jedoch tiefere technische Details preiszugeben. Sicherheitsforscher David Strydom entdeckte die Anfälligkeit und meldete sie verantwortungsvoll. Das Kernproblem liegt in einer fehlerhaften Privilegienvergabe in der Funktion „lsws.redisAble”. Diese kann von beliebigen cPanel-Benutzern aufgerufen werden – sei es von legitimen Nutzern oder von Angreifern mit gestohlenen Zugangsdaten.
Die Auswirkungen sind erheblich: Wer Zugriff auf die Funktion hat, kann Skripte mit Root-Rechten ausführen. Das ermöglicht vollständige Systemkompromittierung, Installation von Malware, Datendiebstahl und laterale Bewegungen im Netzwerk. LiteSpeed hat inzwischen einen Kill-Chain-Indikator veröffentlicht: Administratoren können mit einem Grep-Befehl überprüfen, ob verdächtige IP-Adressen versucht haben, die Lücke auszunutzen.
Die ursprüngliche Patch-Version war 2.4.5. Nach einer umfassenden Sicherheitsüberprüfung beider Plugins (cPanel und WHM) veröffentlichte LiteSpeed jedoch die erweiterte Version 2.4.7 als Teil des WHM Plugins 5.3.1.0. Dies deutet darauf hin, dass die Forschung weitere potenzielle Angriffsvektoren aufdeckte.
Für deutsche Administratoren und Hoster ist sofortige Aktion erforderlich: Das Update auf WHM Plugin 5.3.1.0 oder höher sollte Priorität haben. Falls ein unmittelbares Patchen nicht möglich ist, empfiehlt LiteSpeed, das User-End-Plugin zu deaktivieren – ein notwendiges Kompromiss, um Sicherheit vor Funktionalität zu stellen.
Dieser Vorfall reiht sich in eine Serie kritischer cPanel-Schwachstellen ein. Erst kürzlich wurde CVE-2026-41940 (CVSS 9.8) aktiv zur Verbreitung von Mirai-Botnet-Varianten und der Ransomware „Sorry” missbraucht. Die Häufung dieser Vorfälle zeigt, dass cPanel-Infrastrukturen verstärkt zum Ziel von Cyberkriminellen werden – ein Weckruf für alle Betreiber solcher Systeme.