Una vulnerabilidad de seguridad de máxima gravedad que afecta al complemento cPanel LiteSpeed User-End ha sido objeto de explotación activa en la naturaleza.
El defecto, rastreado como CVE-2026-48172 (Puntuación CVSS: 10,0), se relaciona con un caso de asignación incorrecta de privilegios que un atacante podría abusar para ejecutar scripts arbitrarios con permisos elevados.
«Cualquier usuario de cPanel (incluido un atacante o una cuenta comprometida) puede explotar la función lsws.redisAble para ejecutar scripts arbitrarios como root», dijo LiteSpeed.
La vulnerabilidad afecta a todas las versiones del complemento entre 2.3 y 2.4.4. El complemento WHM de LiteSpeed no se ve afectado. El problema se solucionó en la versión 2.4.5. Al investigador de seguridad David Strydom se le atribuye el mérito de descubrir e informar la falla.
LiteSpeed señaló que «la vulnerabilidad está siendo explotada activamente», pero se abstuvo de compartir detalles adicionales. Ha compartido el siguiente indicador de compromiso:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Si ejecutar el comando «grep» antes mencionado no produce ningún resultado, el servidor no se ve afectado. Sin embargo, si hay algún resultado, se recomienda a los usuarios que examinen las direcciones IP de la lista y determinen si son legítimas y, en caso contrario, las bloqueen.
Luego de una revisión de seguridad de sus complementos cPanel y WHM a raíz de la vulnerabilidad, LiteSpeed dijo que parcheó vectores de ataque potenciales adicionales en ambos complementos y lanzó la versión 2.4.7 del complemento cPanel junto con la versión 5.3.1.0 del complemento WHM.
Se recomienda a los usuarios actualizar a la versión 5.3.1.0 del complemento LiteSpeed WHM, que viene incluido con el complemento cPanel v2.4.7 o superior, para corregir la vulnerabilidad. Si la aplicación de parches inmediata no es una opción, se recomienda eliminar el complemento del usuario final ejecutando el siguiente comando:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
El desarrollo se produce semanas después de que se identificara una vulnerabilidad crítica de cPanel (CVE-2026-41940, puntuación CVSS: 9,8) como explotada activamente por actores de amenazas desconocidos para implementar variantes de botnet Mirai y una cepa de ransomware llamada Sorry.