CISA даде срок от четири дни на федералните агенции в САЩ да защитят своите сървъри срещу критична уязвимост в LiteSpeed cPanel User-End Plugin, която вече се използва активно в реални атаки.

Уязвимостта се проследява като CVE-2026-48172 и позволява повишаване на привилегии до root ниво чрез неправилна обработка на Redis enable/disable функционалността в lsws.redisAble.

От неоторизиран достъп до root права

Според информацията проблемът произтича от грешно зададени привилегии, което позволява на отдалечени нападатели без предварителен достъп да изпълняват произволни скриптове с root права.

Това превръща CVE-2026-48172 в особено опасна уязвимост за хостинг среди, използващи LiteSpeed и cPanel инфраструктура.

LiteSpeed Technologies публикува спешни обновления в четвъртък и призова потребителите незабавно да актуализират cPanel user-end plugin-а, който се доставя заедно с WHM plugin.

Засегнати са версии между v2.3 и v2.4.4

От LiteSpeed уточняват, че всички user-end plugin версии между v2.3 и v2.4.4 са изложени на риск от експлоатация.

Компанията препоръчва администраторите да проверят дали сървърите им са били компрометирани чрез следната команда:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Ако командата върне резултати, администраторите трябва:

• да анализират IP адресите
• да установят дали достъпът е легитимен
• да блокират подозрителните адреси
• да прегледат системните логове за извършени действия

CISA добави CVE-2026-48172 към KEV каталога

На 26 май CISA добави уязвимостта към своя Known Exploited Vulnerabilities (KEV) каталог – списък с активно експлоатирани слабости, които представляват висок риск за федералната инфраструктура.

Съгласно директивата BOD 22-01 федералните агенции трябва да приложат пачовете до полунощ на 29 май 2026 г.

Въпреки че директивата важи официално само за държавните структури на САЩ, CISA отправи предупреждение и към частния сектор.

Повтарящ се вектор за атаки

Според агенцията подобни уязвимости често се използват от киберпрестъпни групи за първоначален достъп до инфраструктура и последващо компрометиране на сървъри.

CISA препоръчва:

• незабавно инсталиране на наличните обновления
• следване на указанията на производителя
• ограничаване или прекратяване на използването на продукта при липса на mitigation мерки
• проверка за необичайна активност в логовете

Риск за хостинг доставчици и cPanel среди

Проблемът е особено критичен за:

• уеб хостинг компании
• VPS доставчици
• cPanel/WHM среди
• споделен хостинг
• инфраструктури с публично достъпни административни панели

Успешната експлоатация може да позволи пълен контрол над сървъра, включително изпълнение на команди, инсталиране на бекдори и компрометиране на клиентски акаунти.