Une faille critique touche les plugins cPanel LiteSpeed
CVE-2026-48172 : faille critique (score 10.0) d’élévation de privilèges dans les plugins LiteSpeed cPanel et WHM. Commande de contrôle et versions affectées.
Publié le par Emmanuel LASTRA 1 min de lecture
MITRE Corporation a publié le 21 mai une vulnérabilité critique [CVE-2026-48172] (https://www.cve.org/CVERecord?id=CVE-2026-48172) affectant les plugins LiteSpeed cPanel Plugin et WHM de LiteSpeed Technologies. Déjà exploitée in the wild en mai 2026, la faille permet une élévation de privilèges pouvant mener à un accès root sur des serveurs Linux utilisant cPanel avec LiteSpeed.
Le problème est lié à une mauvaise gestion des fonctions d’activation et désactivation de Redis. La vulnérabilité est associée au CWE-266 “Incorrect Privilege Assignment” et obtient un score CVSS v4 maximal de 10.0. La qualification de “critique” est donc justifiée.
Les versions affectées du plugin cPanel vont de la branche 2.3 jusqu’avant la version 2.4.7. Le plugin WHM est également vulnérable avant la version 5.3.1.0. LiteSpeed recommande au minimum une mise à jour vers la version 2.4.7 du plugin cPanel.
L’éditeur propose aussi une commande permettant de rechercher des traces d’exploitation dans les logs :
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Si l’output est vide, cela indique que la vulnérabilité n’a pas été exploitée. En revanche, la présence de lignes correspondantes suggère une tentative d’exploitation réussie, nécessitant une enquête approfondie. En cas de détection, LiteSpeed recommande d’examiner les adresses IP impliquées et les journaux système afin d’évaluer une éventuelle compromission.
Face à la gravité de la faille et à son exploitation active, la Cybersecurity and Infrastructure Security Agency (CISA)l’a ajoutée le 26 mai 2026 à son catalogue KEV (Known Exploited Vulnerabilities).