LiteSpeed cPanel: due CVE in KEV, rischio hosting condiviso

CISA ha aggiunto due vulnerabilità distinte nel plugin LiteSpeed per cPanel al suo catalogo Known Exploited Vulnerabilities: la prima il 26 maggio 2026, la seconda il 15 giugno. Entrambe permettono l'escalation di privilegi fino a root su server hosting condiviso, dove un singolo account compromesso espone dati e siti di tutti i co-tenant. La seconda entry, con scadenza federale fissata al 18 giugno, segnala che la minaccia è in evoluzione e non contenuta dal solo patching della falla iniziale.

Come funziona CVE-2026-48172: Redis come porta per root

La falla risiede nella gestione delle funzionalità Redis all'interno del plugin user-end LiteSpeed per cPanel. L'API espone il parametro cpanel_jsonapi_func=redisAble, che un utente cPanel autenticato — o un attaccante con credenziali compromesse — può invocare per forzare l'esecuzione di script con privilegi di root.

Halo Security ha documentato il meccanismo come CWE-266 (Incorrect Privilege Assignment): la funzione lsws.redisAble non restringe adeguatamente i permessi del processo chiamante, consentendo il breakout dalla cage dell'utente. Il ricercatore David Strydom ha segnalato la vulnerabilità a LiteSpeed il 19 maggio 2026; l'azienda ha confermato lo sfruttamento attivo zero-day nelle versioni 2.3 fino a 2.4.4.

Il National Vulnerability Database assegna a CVE-2026-48172 un punteggio CVSS 3.1 di 9.8, con vettore AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: rete, bassa complessità, nessun privilegio richiesto, impatto completo su confidenzialità, integrità e disponibilità. CVE.org riporta invece 10.0 nella scala CVSS 4.0; la discrepanza tra i due sistemi di scoring non è risolta.

"This vulnerability is being actively exploited, and poses a risk for all user-end plugin versions between v2.3 and v2.4.4" — LiteSpeed advisory, riportata da SecurityWeek e SecurityAffairs

La seconda ondata: CVE-2026-54420 e l'attacco via symlink

Mentre i provider ancora patchavano per Redis, CISA ha inserito il 15 giugno 2026 una seconda entry: CVE-2026-54420, con CVSS 8.5 secondo CVE.org. Il meccanismo è diverso — CWE-61, UNIX Symbolic Link Following — ma il contesto d'esposizione è identico: hosting condiviso con CloudLinux e CageFS.

Qui l'attaccante ha bisogno di accesso FTP o di una web shell sul server, condizioni meno severe di un account cPanel completo ma comunque realizzabili su infrastrutture condivise con hosting multipli o siti compromessi. Il plugin LiteSpeed segue symlink forniti dall'utente, saltando le barriere di contenimento che CageFS dovrebbe garantire. Il record ufficiale CVE.org descrive esplicitamente lo sfruttamento "in the wild in May 2026".

La segnalazione è attribuita a Namecheap, con data 31 maggio 2026. Il dossier non chiarisce se Namecheap sia stato vittima o responsabile della disclosure coordinata. Le versioni corrette salgono a 2.4.8 per il plugin cPanel e 5.3.2.0 per il plugin WHM, superiore alla 2.4.7/5.3.1.0 raccomandata per la prima falla.

Perché due CVE nel medesimo prodotto sono un segnale di fragilità

L'intervallo di tre settimane tra le due entry KEV, su componenti strettamente accoppiati, suggerisce che la superficie di attacco del plugin LiteSpeed non è stata ridotta in modo strutturale dopo la prima scoperta. La correzione del vettore Redis non ha eliminato la possibilità di escalation attraverso altri percorsi — symlink in questo caso — che sfruttano la stessa premessa: il plugin opera con privilegi elevati in un ambiente multi-tenant progettato per isolare utenti che invece condividono kernel e filesystem.

Il modello hosting condiviso è economicamente radicato ma architetturalmente esposto a questo genere di collasso. Quando un singolo plugin con privilegi di root fallisce, l'intero server — decine o centinaia di siti, database, credenziali SMTP, certificati — diventa recuperabile per l'attaccante. CISA ha riconosciuto la gravità con due deadline federali aggressive: tre giorni per la prima, e per la seconda il passaggio dal BOD 22-01 al nuovo BOD 26-04 con prioritizzazione basata sul rischio, che non allenta la pressione ma la rende più selettiva.

Il dossier non specifica se i due attacchi siano attribuibili allo stesso attore o alla stessa campagna. Non emergono sovrapposizioni infrastrutturali documentate che colleghino i vettori Redis e symlink a un unico operatore, allo stato attuale.

Cosa fare adesso

• Verificare la versione installata: il plugin user-end deve essere almeno 2.4.8 con WHM plugin 5.3.2.0; la 2.4.7/5.3.1.0 corregge solo CVE-2026-48172 e lascia attivo il vettore symlink
• Controllare i log per indicatori di compromissione: eseguire grep -rE 'cpanel_jsonapi_func=redisAble' /var/cpanel/logs /usr/local/cpanel/logs/ per CVE-2026-48172, e grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ per CVE-2026-54420
• Auditare account cPanel sospetti: ricercare chiamate API non usuali alla funzione redisAble o operazioni su symlink in directory utente, in particolare su server CloudLinux
• Confermare con il provider il patching: chi usa hosting condiviso deve verificare che il gestore abbia aggiornato oltre la 2.4.7, dato che molti potrebbero essersi fermati alla prima correzione

FAQ

Differisce il rischio tra server dedicati e hosting condiviso?
Sì, in modo sostanziale. Su server dedicato la compromissione rimane circoscritta al singolo tenant; su hosting condiviso la stessa falla es fila dati di tutti gli account co-locati. Il dossier non quantifica il numero di server o provider interessati.

Perché CISA ha due sistemi di deadline, BOD 22-01 e BOD 26-04?
Il BOD 22-01 richiedeva patching entro tempi fissi per tutte le entry KEV. Il BOD 26-04, attivato il 15 giugno 2026, introduce prioritizzazione basata sul rischio: per CVE-2026-54420 la scadenza resta di tre giorni (18 giugno), ma il framework è diverso e segnala un adattamento della politica federale.

È corretto il CVSS 10.0 o il 9.8 per CVE-2026-48172?
Sono metriche di versioni diverse: 9.8 è il CVSS 3.1 del NVD, 10.0 è il CVSS 4.0 di CVE.org. Entrambe le fonti ufficiali coesistono senza che una invalidi l'altra; il NVD resta la referenza primaria per molte organizzazioni federali.

La sequenza di due zero-day nel medesimo prodotto, in un arco temporale così compresso, indica che la sicurezza dello strato di integrazione tra web server e pannelli di controllo richiede revisione più profonda del patching singolo. L'hosting condiviso rimane un'architettura conveniente ma intrinsecamente esposta: quando il plugin di ottimizzazione delle prestazioni diviene il canale di compromissione, il costo del risparmio infrastrutturale si misura in giorni di incident response e potenziale esfiltrazione di dati multi-client.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://thehackernews.com/2026/06/cisa-flags-litespeed-cpanel-plugin-flaw.html
• https://www.securityweek.com/cisa-urges-immediate-patching-of-exploited-litespeed-cpanel-plugin-zero-day/
• https://blog.halosecurity.com/cve-2026-48172-litespeed-cpanel-plugin-privilege-escalation/
• https://techjacksolutions.com/scc-intel/litespeed-cpanel-plugin-privilege-escalation-vulnerability-cve-2026-48172-actively-exploited/
• https://securityaffairs.com/192795/hacking/u-s-cisa-adds-litespeed-cpanel-plugin-flaw-to-its-known-exploited-vulnerabilities-catalog.html
• https://www.bleepingcomputer.com/news/security/cisa-gives-feds-3-days-to-patch-actively-exploited-cpanel-plugin-flaw/
• https://www.cve.org/CVERecord?id=CVE-2026-54420
• https://nvd.nist.gov/vuln/detail/CVE-2026-48172
• https://nvd.nist.gov/vuln/detail/CVE-2026-48172?ref=blog.halosecurity.com
• https://www.cve.org/CVERecord?id=CVE-2026-48172
• https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalog