CVE-2026-48172: plugin cPanel LiteSpeed sotto attacco root

Una vulnerabilità critica nel plugin cPanel di LiteSpeed permette privilege escalation a root. Ecco l'IoC per verificare se il server è già stato compromesso.

Contenuto

CVE-2026-48172: plugin cPanel LiteSpeed sotto attacco root
CVE-2026-48172: plugin cPanel LiteSpeed sotto attacco root

LiteSpeed ha confermato il 23 maggio 2026 che la vulnerabilità CVE-2026-48172 nel suo plugin User-End per cPanel è sotto sfruttamento attivo. La falla, che colpisce tutte le versioni del plugin comprese tra la 2.3 e la 2.4.4, consente a qualsiasi utente cPanel — autenticato o compromesso — di eseguire script arbitrari con privilegi di root tramite la funzione lsws.redisAble. Il vendor ha rilasciato un bundle di aggiornamento e un indicatore di compromesso verificabile via grep sui log, rendendo urgente la verifica per ogni provider di hosting che utilizzi lo stack.

Punti chiave
  • La CVE-2026-48172 ha punteggio CVSS 10.0 e permette privilege escalation a root da qualsiasi account cPanel, non solo amministrativo.
  • Le versioni affette sono quelle del plugin cPanel dalla 2.3 alla 2.4.4; il plugin WHM non è vulnerabile alla falla originale.
  • LiteSpeed ha confermato exploitation attiva ma non ha fornito dettagli sulla data di inizio né sugli attori coinvolti.
  • Dopo una security review estesa, il vendor raccomanda il bundle 2.4.7 (cPanel) / 5.3.1.0 (WHM), non la sola patch 2.4.5.

Il meccanismo: come una funzione Redis apre la shell di root

Il nucleo della vulnerabilità risiede in un'assegnazione errata di privilegi all'interno della funzione lsws.redisAble del plugin cPanel LiteSpeed. Secondo la descrizione rilasciata dal vendor e riportata da The Hacker News, questa funzione consente a un utente cPanel autenticato di agganciare il servizio Redis configurato da LiteSpeed. A causa della falla, tuttavia, lo stesso meccanismo può essere abusato per eseguire script arbitrari con i privilegi massimi del sistema operativo.

"Any cPanel user (including an attacker or a compromised account) may exploit the lsws.redisAble function to execute arbitrary scripts as root" — LiteSpeed

La distinzione tra "utente cPanel" e "attaccante" è tecnica e politicamente rilevante. Non serve un account compromesso dall'esterno: un qualsiasi cliente hosting con credenziali valide può attivare la catena di escalation. Su server shared o reseller, dove centinaia di account coesistono sulla stessa macchina, il perimetro di minaccia si espande a tutta la base utenti. La compromissione di un singolo account — magari tramite phishing o credential stuffing — diventa il punto di ingresso per il controllo totale dell'infrastruttura fisica.

Il plugin WHM di LiteSpeed, gestore dell'interfaccia amministrativa a livello reseller/root, non è affetto dalla vulnerabilità originale. Questa separazione architetturale non attenua il rischio: il plugin cPanel è installato di default sui server che erogano il servizio agli utenti finali, e la sua compromissione equivale alla compromissione del nodo.

Il percorso delle patch: dalla 2.4.5 al bundle 2.4.7/5.3.1.0

LiteSpeed ha rilasciato la versione 2.4.5 del plugin cPanel come prima correzione della CVE-2026-48172. La sequenza degli eventi, tuttavia, non si è arrestata lì. Il vendor ha successivamente condotto una security review estesa che ha portato all'individuazione di ulteriori potenziali vettori di attacco correlati. Il risultato è un bundle aggiornato: plugin cPanel 2.4.7 e plugin WHM 5.3.1.0.

La raccomandazione operativa esplicita è di non fermarsi alla 2.4.5. La differenza tra "correggere la CVE" e "mitigare la superficie d'attacco completa" è qui sostanziale: il primo intervento chiude la falla nota, il secondo riduce il rischio di varianti o bypass scoperti nella review successiva. Per gli amministratori, questo implica pianificare un aggiornamento coordinato di entrambi i componenti, non solo del plugin esposto agli utenti.

Il ricercatore di sicurezza David Strydom è stato accreditato per la scoperta e la segnalazione responsabile. Non sono disponibili nella fonte dettagli sulla cronologia della disclosure né sulla tempistica tra segnalazione e rilascio delle patch.

Cosa fare adesso

  1. Verificare la versione installata. Controllare se il plugin cPanel LiteSpeed rientra nel range 2.3-2.4.4. Se sì, il server è vulnerabile indipendentemente dalla configurazione di altri componenti.
  2. Eseguire il grep sull'IoC condiviso. LiteSpeed ha fornito il comando: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/. Qualsiasi riscontro indica che la funzione è stata invocata e richiede analisi forense immediata.
  3. Aggiornare al bundle 2.4.7/5.3.1.0. Applicare entrambi gli aggiornamenti, non solo il plugin cPanel, per coprire i vettori aggiuntivi emersi dalla security review estesa.
  4. Isolare e analizzare accessi sospetti. In caso di riscontri nei log, verificare l'origine delle chiamate, lo stato degli account cPanel coinvolti e la presenza di modifiche non autorizzate a file di sistema o cron job a livello root.

L'angolo threat: quando l'utente finale diventa threat actor

La gravità CVSS 10.0 della CVE-2026-48172 riflette non solo l'impatto — esecuzione come root — ma anche la facilità di accesso al vettore di attacco. Non è richiesta interazione amministrativa, non serve chain di exploit complessa, non è necessario traversare reti perimetrali. L'attaccante opera dall'interno, con le credenziali di un utente legittimo o con un account che appare legittimo fino al momento dell'escalation.

LiteSpeed ha dichiarato esplicitamente che "the vulnerability is being actively exploited", senza fornire però informazioni sulla scala dell'attività né sulla geografia delle campagne. Questa lacuna, tipica delle disclosure iniziali, non consente di quantificare il rischio ma ne conferma la realtà: la falla è nota agli attori offensivi e sta producendo compromissioni concrete.

Per i provider di hosting con infrastruttura LiteSpeed/cPanel, il problema si traduce in una ricalibrazione del modello di minaccia interno. Fino a ieri, un account cPanel compromesso significava esfiltrazione di dati del singolo tenant o defacement; da oggi, con questa CVE, lo stesso evento iniziale può culminare nel controllo del server fisico e della totalità dei dati ospitati. Il trust boundary tra utente e kernel si è spostato.

Domande frequenti

Il plugin WHM è a rischio anche senza aggiornamento?

No, rispetto alla CVE-2026-48172 originale il plugin WHM non è vulnerabile. Tuttavia, il bundle di aggiornamento 5.3.1.0 include correzioni per vettori aggiuntivi emersi dalla security review estesa, quindi l'aggiornamento rimane raccomandato.

L'IoC al grep è sufficiente a escludere una compromissione?

No. L'assenza di riscontri nel log riduce la probabilità ma non la esclude: i log potrebbero essere stati rotati, cancellati o l'attaccante potrebbe avere utilizzato tecniche di evasione. Il grep è uno strumento di screening rapido, non una verifica forense completa.

Perché non basta la patch 2.4.5?

La 2.4.5 corregge la CVE-2026-48172 nota. La 2.4.7 include ulteriori mitigazioni per potenziali vettori identificati nella security review successiva. Il vendor ha rilasciato il bundle come raccomandazione finale: ignorarlo significa accettare un residuo di rischio non quantificabile dalla sola fonte disponibile.

La CVE-2026-48172 ripropone una lezione ricorrente nell'ecosistema hosting: i plugin che mediano tra utente e sistema operativo sono un terreno fertile per privilege escalation architetturali. La funzione lsws.redisAble, progettata per semplificare l'integrazione con Redis, ha trasformato un servizio di convenienza in un ponte verso root. Per chi amministra questi server, il tempo tra disclosure e verifica log misura la distanza tra consapevolezza e controllo.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews