0-Day-Lücke im LiteSpeed cPanel-Plugin ermöglicht Angreifern Root-Zugriff auf Server

LiteSpeed bestätigt, dass die Schwachstelle bereits in der Praxis ausgenutzt wurde, wodurch sie zum Zeitpunkt der Entdeckung eine echte 0-Day-Lücke darstellt. Die Schwachstelle betrifft alle Bereitstellungen, die das anfällige Benutzer-Ende-Plugin zwischen den Versionen v2.3 und v2.4.4 ausführen, während das WHM-Plugin selbst nicht direkt betroffen ist.

LiteSpeed hat eine Korrektur für das cPanel-Plugin ab Version v2.4.5 veröffentlicht und diese in nachfolgenden Bündelungen integriert; Betreiber werden dringend aufgefordert, ohne Verzögerung auf die neuesten Builds umzusteigen.

Erkennung und Sofortmaßnahmen Administratoren können Angriffsversuche schnell überprüfen, indem sie die cPanel-Logs nach Aufrufen der anfälligen Funktion durchsuchen: bash grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null Falls der Befehl keine Ergebnisse zurückgibt, liegen derzeit keine Anzeichen für eine Ausnutzung auf diesem Server vor; bei Trefferzahlen sollten die Quell-IPs validiert, verdächtige Adressen blockiert und die Systemlogs auf Aktivitäten nach einer Kompromittierung überprüft werden.

Sicherheitslage und Risiko

Für diejenigen, die das Patching nicht sofort durchführen können, empfiehlt LiteSpeed die vollständige Deinstallation des Client-Plugins als Eindämmungsmaßnahme: bash /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall LiteSpeed rät dringend zur Aktualisierung auf das LiteSpeed WHM-Plugin v5.3.1.0 (inklusive des cPanel-Plugins v2.4.7) oder eine höhere Version, die die Behebung für CVE‑2026‑48172 sowie zusätzliche Hardening-Maßnahmen aus einer umfassenden Sicherheitsprüfung enthält.

Parallel dazu hat cPanel über sein Sicherheitsupdate vom 19. Mai 2026 die automatische Entfernung des anfälligen Plugins eingeführt und Kunden angewiesen, ein Update mit folgendem Befehl zu erzwingen: bash /scripts/upcp --force Nach dem ersten Bericht des Sicherheitsforschers David Strydom vom 19.

Mai 2026 starteten LiteSpeed und das Team /WebPros einen dringenden Reaktionszyklus. Am selben Tag veröffentlichte LiteSpeed das cPanel-Plugin v2.4.6 und das WHM-Plugin v5.3.0.0, beantragte CVE‑2026‑48172 am 20. Mai und schloss eine vollständige Sicherheitsprüfung ab, indem es am 21. Mai das cPanel-Plugin v2.4.7 und das WHM-Plugin v5.3.1.0 auslieferte.

Sicherheitslage und Risiko

Während im Rahmen dieser Überprüfung weitere Probleme entdeckt und behoben wurden, liegen derzeit keine Berichte darüber vor, dass diese sekundären Schwachstellen in der Wildnis ausgenutzt werden.

Für Hosting-Anbieter und Server-Administratoren ist die Empfehlung eindeutig: Gehen Sie bei unpatchten Systemen, aktualisieren Sie sowohl cPanel als auch LiteSpeed-Komponenten unverzüglich und prüfen Sie die Logs auf verdächtige Aktivitäten, die aus cPanel-Benutzerkontexten stammen.