Detalhes técnicos da falha CVE-2026-48172
A LiteSpeed Technology divulgou e corrigiu uma falha crítica de escalonamento de privilégios em seu plugin de usuário final do cPanel que já está sendo explorada ativamente para obter acesso root em servidores de hospedagem Linux. A vulnerabilidade, rastreada como CVE-2026-48172, afeta versões do plugin de usuário final do cPanel LiteSpeed desde a v2.3 até, mas não incluindo, a v2.4.5.
De acordo com o advisory da LiteSpeed, o problema reside na função lsws.redisAble exposta via o plugin de usuário final do cPanel. Esta função pode ser abusada por qualquer conta de usuário do cPanel para executar scripts arbitrários com privilégios de root. Isso significa que um invasor que já tenha acesso a uma conta de usuário compartilhada pode pivotar para o controle total do servidor.
Evidências de exploração ativa no mundo real
A LiteSpeed confirma que a vulnerabilidade foi explorada no mundo real, tornando-a um verdadeiro zero-day no momento da descoberta. A exploração não requer autenticação administrativa, apenas acesso a uma conta de usuário válida do cPanel. Isso é particularmente preocupante em ambientes de hospedagem compartilhada, onde múltiplos clientes compartilham o mesmo servidor.
Um invasor malicioso ou uma conta comprometida pode utilizar essa falha para instalar backdoors, exfiltrar dados sensíveis ou usar o servidor como parte de uma botnet. A natureza do ataque permite que o atacante ganhe controle total do sistema operacional subjacente.
Mitigação imediata e verificação de logs
Administradores podem verificar rapidamente tentativas de exploração pesquisando nos logs do cPanel por chamadas à função vulnerável. O comando recomendado para busca é: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null.
Se o comando retornar resultados, há evidências de exploração e as ações devem incluir a validação dos IPs de origem, bloqueio de endereços suspeitos e revisão dos logs do sistema para atividade pós-comprometimento. Para aqueles que não podem aplicar o patch imediatamente, a LiteSpeed recomenda desinstalar completamente o plugin de usuário final como medida de contenção.
Atualização de firmware e versões seguras
A LiteSpeed emitiu uma correção no plugin cPanel v2.4.5 e versões posteriores. A recomendação forte é atualizar para o plugin LiteSpeed WHM v5.3.1.0 (empacotado com cPanel plugin v2.4.7) ou superior, que inclui a correção para CVE-2026-48172 e endurecimento adicional de uma revisão de segurança mais ampla.
Além disso, o cPanel lançou uma remoção automatizada do plugin vulnerável via sua atualização de segurança de 19 de maio de 2026. Os clientes devem forçar a atualização com o comando /scripts/upcp --force para garantir que a versão corrigida esteja em execução.
Recomendações para provedores de hospedagem
Para provedores de hospedagem e administradores de servidor, a orientação é clara: assumir comprometimento potencial em sistemas não corrigidos, atualizar imediatamente os componentes cPanel e LiteSpeed e revisar os logs para atividade suspeita originada de contextos de usuário do cPanel.
A segurança em ambientes de hospedagem compartilhada depende da rápida aplicação de patches e do monitoramento contínuo de atividades anômalas. A falha no plugin do cPanel destaca a importância de manter todos os componentes de software atualizados, especialmente aqueles que lidam com privilégios elevados.
Conclusão e lições aprendidas
A exploração ativa desta vulnerabilidade no plugin cPanel LiteSpeed serve como um lembrete crítico da necessidade de vigilância constante em ambientes de hospedagem. A capacidade de um usuário comum escalar para root é uma falha de segurança grave que pode comprometer toda a infraestrutura do servidor.
Organizações devem priorizar a atualização de plugins e extensões de servidores web, especialmente aqueles que lidam com interfaces de gerenciamento de usuários. A resposta rápida a vulnerabilidades zero-day é essencial para proteger a integridade dos dados e a disponibilidade dos serviços.