CVE-2026-48172: atak na cPanel i LiteSpeed

Wersje wtyczki LiteSpeed User-End cPanel Plugin od 2.3 do 2.4.4 zawierają krytyczną lukę w zabezpieczeniach ¹. Identyfikator podatności to CVE (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki) CVE-2026-48172 ². Telemetria wskazuje, że jest ona aktywnie wykorzystywana w atakach od maja 2026 roku ^{3 4}. Problem dotyczy popularnego oprogramowania używanego przez wiele polskich firm hostingowych, co stwarza bezpośrednie ryzyko dla tysięcy stron i aplikacji internetowych w kraju.

Luka pozwala dowolnemu użytkownikowi konta cPanel na serwerze na wykonanie kodu z uprawnieniami administratora (root) ⁵. Oznacza to możliwość pełnego przejęcia kontroli nad maszyną ⁶. Dla firm świadczących usługi hostingowe w modelu współdzielonym, kompromitacja jednego serwera może prowadzić do naruszenia bezpieczeństwa danych wszystkich klientów na tej maszynie ⁷.

TL;DR

• Produkt: LiteSpeed User-End cPanel Plugin, wersje od 2.3 do 2.4.4 ¹.
• Wektor: Eskalacja uprawnień do poziomu root przez dowolnego użytkownika cPanel, wykorzystująca funkcję lsws.redisAble ⁵.
• Identyfikator: CVE-2026-48172. Luka znajduje się w katalogu KEV (Known Exploited Vulnerabilities) amerykańskiej agencji CISA ⁸.
• Wskaźniki kompromitacji (IoC): Obecność wpisów cpanel_jsonapi_func=redisAble w logach cPanel ⁹.
• Kogo dotyczy: Administratorzy serwerów z panelem cPanel i wtyczką LiteSpeed. Szczególnie narażone są polskie firmy hostingowe i ich klienci (sektor MŚP, e-commerce).
• Pierwszy ruch reagowania: Przeskanowanie logów serwera w poszukiwaniu IoC. Natychmiastowa aktualizacja wtyczki do wersji 2.4.7 lub wyższej ¹⁰, lub jej deinstalacja, jeśli aktualizacja jest niemożliwa ¹¹.

Wektor ataku

Analiza luki wskazuje na błąd w obsłudze funkcji związanych z zarządzaniem pamięcią podręczną Redis ¹². Atakujący, posiadający dostęp do dowolnego, nawet najniżej uprzywilejowanego konta w panelu cPanel na serwerze, może wywołać funkcję lsws.redisAble ⁵. Ta funkcja nie weryfikuje poprawnie uprawnień użytkownika, co pozwala na wstrzyknięcie i wykonanie dowolnych skryptów z uprawnieniami systemowymi użytkownika root ⁵.

Skuteczne wykorzystanie tej luki może dać operatorowi pełną kontrolę administracyjną nad serwerem WWW ⁶. Może on instalować złośliwe oprogramowanie, kraść dane wszystkich użytkowników serwera, modyfikować strony internetowe lub wykorzystać maszynę do dalszych ataków w sieci. W kontekście polskiego rynku, gdzie wiele małych i średnich przedsiębiorstw korzysta z hostingu współdzielonego opartego na cPanelu, ryzyko jest zwielokrotnione. Kompromitacja jednego konta na serwerze może prowadzić do naruszenia danych setek innych firm ⁷.

Amerykańska agencja CISA (Cybersecurity and Infrastructure Security Agency) dodała tę lukę do swojego katalogu aktywnie wykorzystywanych podatności 26 maja 2026 roku ¹³. Zobowiązała również amerykańskie agencje federalne do załatania swoich systemów do 29 maja 2026 roku ¹⁴, co podkreśla powagę zagrożenia.

Wskaźniki kompromitacji

Próby wykorzystania luki pozostawiają charakterystyczny ślad w logach systemowych cPanel. Dostawca oprogramowania, LiteSpeed, potwierdził metodę detekcji ¹⁵. Aby sprawdzić, czy serwer padł ofiarą ataku, należy wykonać na nim następujące polecenie w powłoce Bash:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Brak jakichkolwiek wyników tego polecenia oznacza z dużym prawdopodobieństwem, że serwer nie został skompromitowany przy użyciu tego konkretnego wektora ^{16 17}.

Jeśli polecenie zwróci jakiekolwiek wpisy, jest to silny wskaźnik kompromitacji. Należy wtedy przeanalizować zwrócone linie logów, zidentyfikować adresy IP, z których następowały próby ataku, i zweryfikować ich legalność ^{18 19}. Wszystkie podejrzane adresy IP powinny zostać natychmiast zablokowane na poziomie zapory sieciowej. Następnie należy przeanalizować logi systemowe w poszukiwaniu dalszych działań wykonanych z tych adresów IP, aby oszacować skalę incydentu ²⁰.

Co zrobić w 24-48h

Zalecamy podjęcie natychmiastowych działań w celu mitygacji ryzyka. Poniższe kroki powinny zostać wykonane przez administratorów serwerów z cPanel i wtyczką LiteSpeed.

1. Identyfikacja i aktualizacja: Priorytetem jest aktualizacja oprogramowania. Luka została załatana w wersji 2.4.5 wtyczki ²¹. Rekomendowana jest jednak instalacja najnowszej dostępnej wersji, czyli co najmniej 2.4.7 ¹⁰. Najprostszym sposobem jest aktualizacja głównej wtyczki LiteSpeed WHM do wersji 5.3.1.0, która zawiera już załataną wtyczkę dla cPanel ²².

2. Workaround (obejście problemu): Jeśli natychmiastowa aktualizacja nie jest możliwa, należy całkowicie odinstalować podatną wtyczkę użytkownika. Można to zrobić za pomocą polecenia ¹¹:

   /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

   To rozwiązanie tymczasowe, które eliminuje wektor ataku, ale pozbawia użytkowników funkcjonalności wtyczki.

3. Analiza po incydencie: Jeśli wykryto ślady kompromitacji, sama aktualizacja nie wystarczy. Należy założyć, że atakujący mógł uzyskać pełny dostęp do serwera. Wymaga to szczegółowej analizy śledczej, przywrócenia systemu z zaufanej kopii zapasowej i poinformowania wszystkich użytkowników serwera o potencjalnym naruszeniu danych. W kontekście polskim, taki incydent podlega zgłoszeniu do Urzędu Ochrony Danych Osobowych zgodnie z wymogami RODO (Rozporządzenie o Ochronie Danych Osobowych) ²³.

4. Weryfikacja łańcucha dostaw: Polskie firmy korzystające z usług hostingowych powinny skontaktować się ze swoim dostawcą i upewnić się, że podjął on odpowiednie kroki w celu zabezpieczenia infrastruktury przed CVE-2026-48172. Rekomendowane podejście to proaktywne zapytanie o status aktualizacji, a nie oczekiwanie na oficjalny komunikat.

Atrybucja

Podatność została odkryta i odpowiedzialnie zgłoszona przez badacza bezpieczeństwa Davida Strydoma ²⁴.

Źródła

Zobacz też

• CVE-2026-3820: Luka w serwerach Supermicro pozwala na zdalne przejęcie
• Apache Camel: Krytyczna luka CVE-2026-47323 pozwala na RCE
• Check Point: Luka CVE-2026-50752 w IKEv1 zagraża tunelom VPN

Footnotes

1. Luka dotyczy wszystkich wersji wtyczki LiteSpeed User-End cPanel Plugin między 2.3 a 2.4.4. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩ ↩²

2. Wtyczka LiteSpeed User-End cPanel Plugin w wersjach wcześniejszych niż 2.4.5 umożliwia eskalację uprawnień, potencjalnie do poziomu roota. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

3. Luka była aktywnie wykorzystywana w maju 2026 roku. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

4. Luka CVE-2026-48172 jest aktywnie wykorzystywana w środowisku produkcyjnym. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

5. Luka umożliwia każdemu użytkownikowi cPanel (w tym atakującemu lub skompromitowanemu kontu) wykonanie dowolnych skryptów z uprawnieniami roota za pomocą funkcji lsws.redisAble. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩ ↩² ↩³ ↩⁴

6. Luka w LiteSpeed User-End cPanel Plugin przed wersją 2.4.5 może dać atakującemu pełną kontrolę administracyjną nad serwerem. — https://techjacksolutions.com/scc-intel/litespeed-cpanel-plugin-privilege-escalation-vulnerability-cve-2026-48172-actively-exploited/ ↩ ↩²

7. Dla dostawców hostingu lub firm prowadzących środowiska cPanel z wieloma dzierżawcami, pojedynczy skompromitowany serwer może narazić każdego klienta na tym hoście. — https://techjacksolutions.com/scc-intel/litespeed-cpanel-plugin-privilege-escalation-vulnerability-cve-2026-48172-actively-exploited/ ↩ ↩²

8. Ta luka CVE znajduje się w katalogu CISA Known Exploited Vulnerabilities. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

9. Wykrycie eksploatacji można przeprowadzić za pomocą polecenia Bash: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

10. Zalecana minimalna wersja wtyczki to 2.4.7. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩ ↩²

11. Jeśli natychmiastowe załatanie nie jest możliwe, zaleca się usunięcie wtyczki użytkownika za pomocą polecenia /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩ ↩²

12. Problem jest związany z niewłaściwym zarządzaniem funkcjami włączania/wyłączania Redis. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

13. CISA dodała CVE-2026-48172 do swojego katalogu Known Exploited Vulnerabilities (KEV) 26 maja 2026 roku. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

14. Agencje Federal Civilian Executive Branch (FCEB) mają obowiązek zastosować poprawki dla tej luki do 29 maja 2026 roku. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

15. LiteSpeed wskazał następujący wskaźnik kompromitacji: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

16. Brak wyników z polecenia grep oznacza, że serwer nie został dotknięty eksploatacją luki. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

17. Jeśli uruchomienie polecenia grep nie zwróci żadnych wyników, serwer nie jest dotknięty. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

18. Jeśli polecenie grep zwróci wyniki, zaleca się sprawdzenie adresów IP na liście, określenie ich ważności i zablokowanie nieprawidłowych. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

19. Jeśli są wyniki z polecenia grep, użytkownikom zaleca się sprawdzenie adresów IP na liście i zablokowanie nieprawidłowych. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

20. Aby określić zakres szkód, należy zbadać logi systemowe pod kątem użycia wykrytych adresów IP. — https://nvd.nist.gov/vuln/detail/CVE-2026-48172 ↩

21. Problem został rozwiązany w wersji 2.4.5 wtyczki cPanel. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

22. Użytkownikom zaleca się aktualizację do LiteSpeed WHM Plugin w wersji 5.3.1.0, która zawiera wtyczkę cPanel w wersji 2.4.7 lub wyższej. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩

23. Dostęp na poziomie roota stanowi pełne naruszenie danych, wymagające powiadomienia zgodnie z RODO lub podobnymi ramami prawnymi. — https://techjacksolutions.com/scc-intel/litespeed-cpanel-plugin-privilege-escalation-vulnerability-cve-2026-48172-actively-exploited/ ↩

24. Badacz bezpieczeństwa David Strydom został uznany za odkrywcę i zgłaszającego tę lukę. — https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html ↩