Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 31.05.2026 · 2 min Lesezeit

LiteSpeed cPanel-Plugin: CISA setzt Vier-Tage-Frist gegen aktive Angriffe

Eine kritische Rechteausweitung im LiteSpeed cPanel-Plugin wird laut CISA aktiv ausgenutzt. US-Bundesbehörden bekamen nur vier Tage zum Patchen. Auch europäische Hoster sollten reagieren.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller

Die US-Sicherheitsbehörde CISA hat das LiteSpeed cPanel-Plugin auf die Liste der bekannten ausgenutzten Schwachstellen gesetzt und Bundesbehörden ungewöhnlich kurze vier Tage zum Einspielen der Patches eingeräumt. Hintergrund ist die als kritisch eingestufte Lücke CVE-2026-48172 mit einem CVSS-Wert von 9,8, die Angreifern ohne Authentifizierung das Ausführen beliebiger Skripte mit Root-Rechten auf dem Hosting-Server erlaubt. Erste Angriffe sind laut LiteSpeed bereits beobachtet worden.

Der Fehler steckt in der Funktion lsws.redisAble und betrifft die User-End-Komponente des Plugins in den Versionen 2.3 bis einschließlich 2.4.4. LiteSpeed hat den Bug intern mit Version 2.4.5 geschlossen und ruft Betreiber dringend dazu auf, mindestens auf 2.4.7 zu aktualisieren. Da das Plugin gemeinsam mit der WHM-Komponente ausgeliefert wird, müssen Reseller-Setups beide Pakete prüfen.

Was Hoster und Admins jetzt tun sollten

  1. Plugin-Version mit cpanel --version sowie im WHM-Bereich "LiteSpeed cPanel Plugin" kontrollieren und auf 2.4.7 oder höher aktualisieren.
  2. Logs nach verdächtigen Zugriffen durchsuchen: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ ist der von LiteSpeed empfohlene Such-Befehl.
  3. Auf betroffenen Servern Web-Application-Firewall-Regeln vor Redis-bezogenen API-Calls aktivieren, bis das Update durchgerollt ist.
  4. Nach dem Patch Passwörter aller Reseller- und Root-Accounts rotieren und auf neu angelegte Cronjobs, SSH-Keys oder Schadcode-Dateien im Web-Root prüfen.

Für den deutschsprachigen Mittelstand ist die Lage besonders relevant, weil cPanel im Shared- und Reseller-Hosting weiterhin der De-facto-Standard ist und LiteSpeed durch seine WordPress-Optimierung viele Agentur-Hoster betreibt. Eine root-fähige Lücke in einer cPanel-Komponente bedeutet faktisch die Komplettübernahme des Servers samt aller Kunden-Sites – mit allen Konsequenzen für DSGVO-Meldepflichten, sollte ein Datenleck festgestellt werden. Hoster sollten den CISA-Patch-Termin ernst nehmen, auch wenn sie nicht in dessen Geltungsbereich fallen.

Mehr aus der Kategorie Sicherheit: News aus der Kategorie Sicherheit

Quellen: BleepingComputer – CISA gives feds 4 days to patch actively exploited cPanel plugin flaw, heise – LiteSpeed cPanel Plugin: Attacks on vulnerability observed.

Verwandt

Weiter lesen

Alle Artikel →
Netzwerk-Storage im Regal – Symbolbild für Synology-NAS
29.05.2026 ·2 min

Drupal-Lücke CVE-2026-9082: Angreifer attackieren PostgreSQL-Setups

Eine als kritisch eingestufte SQL-Injection-Lücke im Drupal-Core wird aktiv ausgenutzt. Betroffen sind ausschliesslich Installationen, die PostgreSQL als Datenbank verwenden.
Bürorechner mit Sicherheits-Icon – Symbolbild für SAP-Patchday
28.05.2026 ·2 min

SAP-Patchday Mai 2026: Zwei kritische Lücken erlauben unauthentifizierten Login

SAP schließt im Mai-Patchday 15 Schwachstellen, zwei davon kritisch. Eine erlaubt unauthentifizierten Login, eine zweite SQL-Injection.
Festplatte sicher löschen
26.05.2026 ·3 min

Festplatte sicher Löschen