Vulnerabilidad crítica en LiteSpeed cPanel Plugin permite ejecución de scripts como root
Publicado el
Vulnerabilidad en LiteSpeed cPanel Plugin
La vulnerabilidad crítica identificada como CVE-2026-48172, con una puntuación CVSS de 10.0, afecta al plugin de LiteSpeed User-End cPanel. Esta falla se relaciona con una incorrecta asignación de privilegios, lo que permite a un atacante ejecutar scripts arbitrarios con permisos elevados. Según LiteSpeed, cualquier usuario de cPanel, incluyendo cuentas comprometidas, puede utilizar la función lsws.redisAble para ejecutar scripts como root.
Alcance del problema
La vulnerabilidad afecta a todas las versiones del plugin entre 2.3 y 2.4.4, mientras que el plugin de WHM de LiteSpeed no se ve afectado. LiteSpeed ha reconocido que esta vulnerabilidad está siendo explotada activamente, aunque no ha proporcionado más detalles al respecto.
Indicadores de compromiso
LiteSpeed ha compartido un indicador de compromiso para ayudar a identificar si un servidor ha sido comprometido. El comando recomendado es:
```bash grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null ```
Si este comando no produce salida, el servidor no está afectado. Sin embargo, si hay salida, se recomienda a los usuarios examinar las direcciones IP listadas para verificar su legitimidad y, de ser necesario, bloquearlas.
Medidas a tomar
Tras una revisión de seguridad de sus plugins de cPanel y WHM, LiteSpeed ha corregido otras posibles vías de ataque y ha lanzado la versión 2.4.7 del plugin de cPanel, que incluye la versión 5.3.1.0 del plugin de WHM. Se aconseja a los usuarios actualizar a estas versiones para solucionar la vulnerabilidad.
En caso de que la actualización inmediata no sea posible, se recomienda desinstalar el plugin de usuario final con el siguiente comando:
```bash /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall ```
Contexto reciente
Esta noticia surge semanas después de que se identificara otra vulnerabilidad crítica en cPanel, CVE-2026-41940 (CVSS 9.8), que también estaba siendo activamente explotada por actores desconocidos para desplegar variantes del botnet Mirai y una cepa de ransomware llamada Sorry.
La alerta sobre estas vulnerabilidades subraya la importancia de mantener los sistemas actualizados y realizar auditorías de seguridad regulares.