Vulnerabilidad crítica en LiteSpeed cPanel permite ejecución de scripts como root

Introducción

Recientemente, se ha descubierto una vulnerabilidad de alta severidad en el plugin LiteSpeed para cPanel, identificado como CVE-2026-48172, que permite a un atacante ejecutar scripts como root. Esta situación pone en riesgo la seguridad de los servidores que utilizan este software.

¿Qué sucedió?

La vulnerabilidad CVE-2026-48172, con un puntaje CVSS de 10.0, se deriva de una incorrecta asignación de privilegios en el plugin, afectando las versiones desde 2.3 hasta 2.4.4. El problema principal radica en la función lsws.redisAble, que puede ser explotada por cualquier usuario de cPanel, incluida una cuenta comprometida, para ejecutar scripts arbitrarios con permisos elevados.

Impacto y Riesgo

El impacto de esta vulnerabilidad es significativo, ya que permite a los atacantes ejecutar cualquier script en el servidor afectado, lo que podría resultar en un acceso completo, robo de datos o incluso en la instalación de malware. LiteSpeed ha declarado que la vulnerabilidad está siendo activamente explotada, lo que reitera la necesidad de una acción inmediata.

Recomendaciones

• Actualizar a la versión 2.4.7 del plugin de LiteSpeed cPanel o superior inmediatamente.
• Si la actualización no es posible, desinstalar el plugin de usuario mediante el comando: /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall.
• Realizar una revisión de los registros usando el comando: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null para verificar si hay actividad sospechosa.

Conclusión

La vulnerabilidad CVE-2026-48172 representa un grave riesgo para los usuarios de LiteSpeed cPanel. Es crucial que las organizaciones tomen medidas inmediatas para mitigar esta amenaza y proteger sus servidores de posibles abusos.