SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Lücke im LiteSpeed cPanel-Plugin: CISA fordert sofortige Patches auf

Von CyberDeutsch Redaktion
Kritische Lücke im LiteSpeed cPanel-Plugin: CISA fordert sofortige Patches auf
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat Bundesbehörden zur sofortigen Beseitigung einer kritischen Sicherheitslücke in dem LiteSpeed cPanel Plugin aufgefordert. Die Schwachstelle CVE-2026-48172 mit einer CVSS-Bewertung von 9,8 ermöglicht Angreifern die Ausführung beliebiger Skripte mit Root-Privilegien und wird bereits aktiv in freier Wildbahn ausgenutzt. LiteSpeed behob die Vulnerability bereits letzte Woche in Version 2.4.5, nachdem sie als Zero-Day-Lücke missbraucht wurde. Betroffen sind alle Versionen zwischen 2.3 und 2.4.4 des User-End-Plugins. Für deutsche Nutzer und Unternehmen, die cPanel-basierte Hosting-Infrastrukturen einsetzen, stellt dies ein erhebliches Sicherheitsrisiko dar. Der Zugriff mit Root-Privilegien ermöglicht Angreifern vollständige Kontrolle über betroffene Server und damit potentiell Zugriff auf sensible Daten von Kunden und Geschäftsbetrieben. CISA fordert bis zum 29. Mai eine Aktualisierung auf Version 5.3.1.0 oder höher beziehungsweise die komplette Entfernung des Plugins. cPanel selbst hat bereits ein Nightly-Update ausgerollt, das das Plugin automatisch entfernt. Besonders kritisch ist die Tatsache, dass die Lücke bereits exploitiert wurde – Unternehmen sollten umgehend ihre Systeme überprüfen und patchen.

Die Schwachstelle betrifft alle Versionen der LiteSpeed-Benutzererweiterung zwischen v2.3 und v2.4.4 und wurde bereits in der Wildnis ausgenutzt, um unbefugten Serverzugriff zu erlangen. LiteSpeed warnte, dass Angreifer durch die Privilege-Escalation-Lücke Systemskripte mit höchsten Berechtigungen ausführen können — ein erhebliches Risiko für alle betroffenen cPanel-Installationen.

Das Unternehmen empfiehlt betroffenen Nutzern, auf die WHM-Plugin-Version 5.3.1.0 oder höher zu aktualisieren, welche gebündelt mit der korrigierten Benutzer-Plugin-Version 2.4.7 ausgeliefert wird. Falls Patches nicht zeitnah installiert werden können, wird die komplette Deinstallation des Plugins empfohlen. LiteSpeed hat zudem Hinweise bereitgestellt, wie Administratoren überprüfen können, ob ihre Systeme kompromittiert wurden — durch Analyse von IP-Adressen in den Zugriffslisten und eine gründliche Prüfung der Systemprotokolle auf verdächtige Aktivitäten.

CPanel selbst hat die ernsthafte Natur des Problems erkannt und am 19. Mai eine nächtliche Aktualisierung durchgeführt, die die LiteSpeed-Benutzererweiterung für alle cPanel-Versionen entfernt hat. Dies unterstreicht das Ausmaß der Bedrohung, die von dieser Lücke ausgeht.

CISA hat CVE-2026-48172 in seinen Katalog der bekanntermaßen exploitierten Schwachstellen (KEV) aufgenommen und fordert Bundesbehörden auf, die Lücke bis zum 29. Mai zu patchen oder das Plugin zu entfernen. Dies erfolgt gemäß der Binding Operational Directive (BOD) 22-01, welche die Zentralverwaltung der USA auf prompte Sicherheitsmaßnahmen verpflichtet.

Für deutsche Unternehmen bedeutet dies eine hohe Priorität: Webhoster, Agenturen und Betreiber von cPanel-basierten Infrastrukturen sollten umgehend ihre Systeme überprüfen und aktualisieren. Das Risiko, dass Angreifer Root-Zugriff erlangen, ist nicht zu unterschätzen und könnte zu massiven Datenverletzungen führen. Betroffene Firmen müssen darüber hinaus prüfen, ob eine Meldung an deutsche Datenschutzbehörden erforderlich ist. Der Schweregrad und die aktive Ausnutzung dieser Lücke machen die schnellstmögliche Remediation zur höchsten Priorität in der IT-Infrastruktur.

Ähnliche Artikel