O que aconteceu

Uma falha de severidade maxima foi divulgada no LiteSpeed User-End cPanel Plugin. Ela recebeu o codigo CVE-2026-48172 e nota CVSS 10.0. Segundo as informacoes divulgadas, o problema esta relacionado a uma atribuicao incorreta de privilegios, permitindo que um usuario do cPanel rode scripts com permissao elevada.

Na pratica, isso e grave porque o usuario root tem controle maximo sobre o servidor. A LiteSpeed informou que a vulnerabilidade esta sendo explorada em ambientes reais, sem detalhar publicamente como os ataques estao ocorrendo.

Como a falha funciona

O ponto citado pela LiteSpeed envolve a funcao lsws.redisAble. Um usuario do cPanel, incluindo uma conta comprometida, poderia abusar dessa funcao para executar scripts arbitrarios como root.

As versoes afetadas sao as do LiteSpeed User-End cPanel Plugin entre 2.3 e 2.4.4. O plugin WHM da LiteSpeed nao foi apontado como afetado por essa falha especifica. A correcao inicial saiu na versao 2.4.5, e depois a LiteSpeed tambem publicou a versao 2.4.7 do plugin cPanel dentro do WHM Plugin 5.3.1.0, apos revisar vetores adicionais.

Como identificar sinais

A LiteSpeed forneceu um indicador pratico para busca em logs. Em servidores com cPanel, execute:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Como interpretar o resultado:

• Se o comando nao retornar nada, a indicacao divulgada e que o servidor nao foi afetado por esse indicador.
• Se houver retorno, revise os enderecos IP listados.
• Se algum IP nao for legitimo, a orientacao e bloquea-lo e investigar o acesso.

O que fazer agora

A acao principal e atualizar para o LiteSpeed WHM Plugin 5.3.1.0, que inclui o cPanel plugin v2.4.7 ou superior. Essa e a versao recomendada pela LiteSpeed para corrigir a falha e os vetores adicionais encontrados na revisao.

Se a atualizacao imediata nao for possivel, a alternativa indicada e remover o plugin de usuario com o comando:

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Tambem vale revisar contas cPanel suspeitas, pois o abuso pode partir de um usuario comum ou de uma conta ja comprometida.

Checklist pratico

1. Verifique se o LiteSpeed User-End cPanel Plugin esta entre as versoes 2.3 e 2.4.4.
2. Execute o comando grep indicado pela LiteSpeed e analise qualquer retorno.
3. Atualize para o LiteSpeed WHM Plugin 5.3.1.0 com cPanel plugin v2.4.7 ou superior; se nao puder, desinstale o plugin de usuario temporariamente.

Perguntas frequentes

Quem e afetado pela CVE-2026-48172?

Servidores que usam o LiteSpeed User-End cPanel Plugin nas versoes de 2.3 a 2.4.4. O plugin WHM da LiteSpeed nao foi indicado como afetado por essa falha especifica.

Por que essa falha e considerada critica?

Porque pode permitir que scripts sejam executados como root, o nivel mais alto de permissao em um servidor. Isso amplia muito o impacto de uma conta cPanel abusada ou comprometida.

Qual versao devo instalar?

A recomendacao e atualizar para o LiteSpeed WHM Plugin 5.3.1.0, que traz o cPanel plugin v2.4.7 ou superior.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html