Một lỗ hổng bảo mật nghiêm trọng trong LiteSpeed User-End cPanel Plugin (CVE-2026-48172) đang bị các tác nhân độc hại khai thác tích cực để chạy các script tùy ý với quyền root.
Lỗ hổng LiteSpeed cPanel Plugin CVE-2026-48172 bị khai thác để chạy script với quyền root
Một lỗ hổng bảo mật nghiêm trọng trong LiteSpeed User-End cPanel Plugin đang bị khai thác tích cực trong thực tế. Lỗ hổng này, được định danh là CVE-2026-48172 với điểm CVSS tối đa 10.0, xuất phát từ việc gán quyền không chính xác, cho phép kẻ tấn công thực thi các script tùy ý với đặc quyền cao nhất.
LiteSpeed đã xác nhận rằng: "Bất kỳ người dùng cPanel nào (bao gồm cả kẻ tấn công hoặc tài khoản bị xâm nhập) đều có thể khai thác chức năng lsws.redisAble để thực thi các script tùy ý với quyền root."
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của plugin từ 2.3 đến 2.4.4. Plugin WHM của LiteSpeed không bị ảnh hưởng. Vấn đề đã được khắc phục trong phiên bản 2.4.5. Nhà nghiên cứu bảo mật David Strydom được ghi nhận là người đã phát hiện và báo cáo lỗ hổng này.
LiteSpeed cho biết "lỗ hổng đang bị khai thác tích cực" nhưng không chia sẻ thêm chi tiết. Hãng đã cung cấp chỉ số nhận diện sự xâm nhập (IoC) sau:
grep -r "lsws.redisAble" /var/log/audit/audit.log
Nếu lệnh grep trên không trả về kết quả nào, server của bạn không bị ảnh hưởng. Tuy nhiên, nếu có bất kỳ kết quả nào, người dùng nên kiểm tra các địa chỉ IP trong danh sách để xác định xem chúng có hợp lệ hay không, và nếu không, hãy chặn chúng.
Sau khi rà soát bảo mật các plugin cPanel và WHM của mình do lỗ hổng này, LiteSpeed đã vá thêm các vector tấn công tiềm năng khác trong cả hai plugin và phát hành phiên bản cPanel plugin 2.4.7 như một phần của WHM plugin phiên bản 5.3.1.0.
Người dùng được khuyến nghị nâng cấp lên LiteSpeed WHM Plugin phiên bản 5.3.1.0, đi kèm với cPanel plugin v2.4.7 trở lên, để vá lỗ hổng. Nếu không thể vá ngay lập tức, bạn nên gỡ bỏ plugin user-end bằng cách chạy lệnh sau:
/usr/local/lsws/admin/misc/uninstall.sh
Sự việc này diễn ra vài tuần sau khi một lỗ hổng cPanel nghiêm trọng khác (CVE-2026-41940, CVSS 9.8) được xác định là đang bị các tác nhân đe dọa không xác định khai thác để triển khai các biến thể botnet Mirai và một chủng ransomware có tên Sorry.
Cập nhật
Vào ngày 26 tháng 5 năm 2026, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm CVE-2026-48172 vào danh mục Các lỗ hổng đã bị khai thác (KEV) của mình, yêu cầu các cơ quan thuộc Nhánh Hành pháp Liên bang (FCEB) phải áp dụng các bản vá cho lỗ hổng này trước ngày 29 tháng 5 năm 2026.
Nguồn tham khảo: The Hacker News
