Im Zentrum steht CVE-2026-48172, eine Schwachstelle zur Rechteausweitung im LiteSpeed-Plugin für cPanel auf der Endanwenderseite. Sie wurde in der Funktion lsws.redisAble gefunden und geht auf eine fehlerhafte Handhabung der Funktionen zum Aktivieren und Deaktivieren von Redis zurück. Zugrunde liegt eine falsche Rechtevergabe, die es entfernten Angreifern ohne jede Berechtigung erlaubt, beliebige Skripte mit Root-Rechten auszuführen.

LiteSpeed veröffentlichte dringende Sicherheitsupdates, um den Fehler zu beheben, und rief Nutzer dazu auf, das cPanel-Plugin für den Endanwender – das zusammen mit dem WHM-Plugin ausgeliefert wird – auf die aktuelle Version zu bringen. Nach Angaben des Herstellers betrifft das Risiko alle Plugin-Versionen zwischen v2.3 und v2.4.4.

„Diese Schwachstelle wird aktiv ausgenutzt und stellt für alle Endanwender-Plugin-Versionen zwischen v2.3 und v2.4.4 ein Risiko dar", erklärte das LiteSpeed-Team. Nutzern wird zudem ein Befehl an die Hand gegeben, mit dem sich prüfen lässt, ob ein Server angreifbar ist. „Falls dieser Befehl eine Ausgabe liefert, empfehlen wir, die aufgelisteten IP-Adressen zu prüfen, festzustellen, ob sie legitim sind, und sie andernfalls zu blockieren. Um einen möglichen Schaden zu ermitteln, sollten die Systemprotokolle auf Aktionen der erkannten IP-Adressen untersucht werden", so das Unternehmen.

CISA nahm die Lücke in ihren Katalog der in Angriffen ausgenutzten Schwachstellen auf und verpflichtete die US-Bundesbehörden gemäß der Binding Operational Directive (BOD) 22-01, ihre Systeme bis Mitternacht des 29. Mai zu patchen.

Obwohl die BOD 22-01 nur für US-Bundesbehörden gilt, forderte CISA alle Verantwortlichen – einschließlich des privaten Sektors – auf, die Patches für CVE-2026-48172 vorrangig einzuspielen und ihre Server so schnell wie möglich abzusichern. „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellt ein erhebliches Risiko für die Bundesverwaltung dar", warnte die Behörde. Sie empfahl, die Gegenmaßnahmen nach Herstellervorgaben umzusetzen, die einschlägigen BOD-22-01-Vorgaben für Cloud-Dienste zu befolgen oder das Produkt einzustellen, falls keine Gegenmaßnahmen verfügbar sind.