LiteSpeed cPanel-Plugin (CVE-2026-48172): Root-Exploit, CISA-Frist 29. Mai

Eine kritische Lücke im LiteSpeed-cPanel-Plugin verschafft jedem regulären cPanel-Nutzer Root-Rechte auf dem Server. Die Schwachstelle wird unter CVE-2026-48172 geführt und bereits aktiv ausgenutzt. Die US-Cybersicherheitsbehörde CISA hat US-Bundesbehörden eine Patch-Frist bis Mitternacht 29. Mai 2026 gesetzt – ein ungewöhnlich enges Fenster, das die Dringlichkeit unterstreicht. Hosting-Provider und Reseller im DACH-Raum sollten den Patch nicht abwarten, sondern sofort einspielen.

Wie der Angriff funktioniert

Die Lücke sitzt in der Funktion lsws.redisAble, die das Plugin zur Aktivierung und Deaktivierung des Redis-Caches anbietet. Wegen einer fehlerhaften Berechtigungszuweisung lässt sich der Aufruf über die cPanel-JSON-API durch jeden normalen cPanel-Account auslösen – und führt anschließend beliebige Skript-Inhalte mit Root-Rechten aus. Damit reicht ein einziges kompromittiertes Kundenkonto, um den gesamten Shared-Hosting-Server zu übernehmen: vom Auslesen sämtlicher MySQL-Datenbanken über das Einsetzen von Webshells bis zur Persistenz im System.

Betroffen sind alle End-User-Plugin-Versionen 2.3 bis 2.4.4. LiteSpeed hat einen Notfall-Hotfix veröffentlicht, der parallel zum WHM-Plugin ausgeliefert wird. Ob der Patch bei einem Server bereits eingespielt ist, lässt sich an der Versionsnummer im WHM-Plugin-Manager ablesen. CISA hat CVE-2026-48172 in den Known-Exploited-Vulnerabilities-Katalog aufgenommen – ein klarer Indikator, dass Angriffe nicht nur theoretisch möglich, sondern beobachtet sind.

Was Provider und Admins jetzt tun sollten

1. Sofort updaten: Auf jedem WHM-/cPanel-Host das LiteSpeed-Plugin auf eine Version > 2.4.4 heben. WHM > Plugins > LiteSpeed Web Server.
2. Server prüfen: Mit einem einfachen Logcheck lässt sich erkennen, ob jemand bereits den verwundbaren Endpoint angesprochen hat: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null. Treffer in den Access-Logs sind ein starkes Indiz für einen Angriffsversuch.
3. Auf kompromittierten Hosts reicht ein Patch nicht: Nach einem erfolgreichen Exploit ist von Root-Persistenz auszugehen. Sauberer Pfad ist Wiederaufsetzen oder ein forensischer Image-Vergleich.
4. Reseller und kleine Hoster: Kunden proaktiv informieren – die Lücke betrifft auch jene Pakete, in denen Kunden vermeintlich nur "ihren eigenen" Bereich verändern können.
5. WAF-Regel als Brückenmaßnahme: Wer aus organisatorischen Gründen erst später patcht, kann den Endpoint cpanel_jsonapi_func=redisAble an der WAF blockieren. Das ist kein Ersatz für den Patch, schließt aber kurzfristig das Tor.

Für deutsche Hosting-Anbieter und IT-Dienstleister mit cPanel-Bestand ist die Episode ein weiterer Beleg, wie eng Shared-Hosting-Sicherheit am Patch-Stand einzelner Add-on-Plugins hängt. LiteSpeed selbst ist im Performance-Bereich beliebt, weil der Webserver Apache-Konfigurationen drop-in ablöst – die Schattenseite zeigt sich, wenn solche Tiefenintegrationen zu Privilege-Escalation-Pfaden werden. Wer Hosting im Auftrag betreibt, sollte das eigene Patch-Management-SLA im Vertrag mit den Endkunden überprüfen: vier Tage von CVE-Bekanntgabe bis CISA-Deadline sind weniger, als manch interner Change-Prozess vorsieht.

Mehr zu Server- und Netzwerk-Themen: News aus der Kategorie Netzwerk

Quellen: heise online – LiteSpeed cPanel-Plugin: Angriffe auf Schwachstelle beobachtet, BleepingComputer – CISA gives feds 4 days to patch actively exploited cPanel plugin flaw