Die Schwachstelle CVE-2026-48172 betrifft das LiteSpeed-Plugin für die Endnutzerseite von cPanel und erreicht mit einem CVSS-Wert von 9.8 nahezu die Höchstbewertung. Sie wird als Problem der Rechteausweitung beschrieben: Angreifer können dadurch beliebige Skripte mit Root-Rechten ausführen.

LiteSpeed schloss die Lücke kürzlich mit Version 2.4.5 des Endnutzer-Plugins und wies darauf hin, dass sie zuvor als Zero-Day ausgenutzt worden war. Das WHM-Plugin des Herstellers ist nach dessen Angaben nicht betroffen. „Diese Schwachstelle wird aktiv ausgenutzt und stellt ein Risiko für alle Endnutzer-Plugin-Versionen zwischen 2.3 und 2.4.4 dar", warnte LiteSpeed.

Der Hersteller stellte den Nutzern zudem eine Anleitung bereit, mit der sich prüfen lässt, ob Server betroffen sind, und empfahl bei Anzeichen einer möglichen Ausnutzung sofortiges Handeln. „Wir empfehlen, die IP-Adressen in der Liste zu prüfen, festzustellen, ob sie legitim sind, und sie andernfalls zu blockieren. Um etwaige Schäden festzustellen, sollten die Systemprotokolle auf Aktionen der erkannten IP-Adressen untersucht werden", so LiteSpeed.

Zur Behebung sollten Nutzer auf das LiteSpeed-WHM-Plugin in Version 5.3.1.0 (gebündelt mit dem Endnutzer-Plugin in Version 2.4.7) oder höher aktualisieren, die den Patch enthalten. Ist ein Update nicht möglich, rät der Hersteller, das Plugin vollständig zu entfernen.

Am 19. Mai veröffentlichte cPanel ein nächtliches Update, das das LiteSpeed-Endnutzer-Plugin für alle cPanel-Versionen entfernte, und betonte, dass die ausgenutzte Schwachstelle unbefugten Root-Zugriff auf den Server ermöglichte.

CISA nahm CVE-2026-48172 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und forderte Bundesbehörden auf, die Lücke gemäß der Vorgabe der Binding Operational Directive (BOD) 22-01 bis zum 29. Mai zu patchen oder die angreifbaren Plugin-Versionen zu entfernen.