Im Zentrum der Warnung steht eine hochriskante Schwachstelle im LiteSpeed-cPanel-User-End-Plugin, die als CVE-2026-48172 geführt wird. Nach Angaben von Namecheap erlaubt sie Angreifern mit FTP-Zugang oder Web-Shell-Zugriff auf Shared-Hosting-Servern mit CloudLinux/CageFS eine Ausweitung ihrer Rechte auf Root-Ebene. Ursache ist laut LiteSpeed eine Schwäche beim Folgen von UNIX-Symlinks. Betroffen sind alle Versionen des User-End-Plugins vor 2.4.8.

LiteSpeed hatte Anfang Juni auf laufende Angriffe hingewiesen und ein dringendes Sicherheitsupdate bereitgestellt. Der Hersteller forderte Nutzer auf, das cPanel-User-End-Plugin, das zusammen mit dem WHM-Plugin ausgeliefert wird, auf die aktuelle Version zu aktualisieren. Zudem veröffentlichte LiteSpeed einen Befehl, mit dem Administratoren prüfen können, ob ihr Server für Angriffe auf CVE-2026-48172 anfällig ist.

Nach Angaben von LiteSpeed gilt: „Wenn dieser Befehl irgendeine Ausgabe liefert, könnte die Schwachstelle auf Ihrem Server ausgenutzt worden sein. […] Um festzustellen, welcher Schaden entstanden ist, untersuchen Sie die Systemprotokolle auf Maßnahmen der erkannten IP-Adressen.“ Weiter erklärte das Unternehmen: „Diese Schwachstelle wird aktiv ausgenutzt und stellt für alle Versionen des User-End-Plugins vor 2.4.8 ein Risiko dar.“ Der Quelltext nennt den konkreten Prüf-Befehl jedoch nicht.

CISA nahm die Schwachstelle am Montag in den Known Exploited Vulnerabilities Catalog auf. Für Behörden der Federal Civilian Executive Branch gilt damit eine Frist von drei Tagen, um ihre Systeme gemäß Binding Operational Directive 26-04 abzusichern. Diese Richtlinie wurde laut CISA am vergangenen Mittwoch veröffentlicht und ersetzt die älteren Vorgaben BOD 19-02 und 22-01.

BOD 26-04 verpflichtet US-Bundesbehörden dazu, das Einspielen von Patches nach Ausnutzungsrisiko zu priorisieren. Zu den laut CISA maßgeblichen Faktoren gehören die Aufnahme einer Schwachstelle in den KEV-Katalog, die Frage, ob ein System öffentlich über das Internet erreichbar ist, ob sich die Ausnutzung für großflächige Angriffe automatisieren lässt und ob ein erfolgreicher Angriff teilweise oder vollständige Kontrolle über das Zielsystem ermöglicht.

Die Behörde warnte dazu: „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für die Bundesverwaltung.“ Weiter hieß es, Verantwortliche sollten die anwendbaren Vorgaben von BOD 26-04 für Cloud-Dienste befolgen oder das Produkt nicht weiter einsetzen, falls keine Abhilfemaßnahmen verfügbar seien. Außerdem müssten sie die Internet-Exponierung jedes einzelnen Systems bewerten und die Einhaltung der Patch-Vorgaben nach BOD 26-04 sicherstellen.

Bereits im vergangenen Monat hatte CISA Bundesbehörden vor einer weiteren LiteSpeed-cPanel-Schwachstelle gewarnt, die im Quelltext als CVE-2026-48172 bezeichnet wird. Diese sei von nicht authentifizierten Angreifern ausgenutzt worden, um beliebige Skripte mit Root-Rechten auszuführen.