Lỗ hổng LiteSpeed cPanel Plugin CVE-2026-48172 bị khai thác để chạy tập lệnh với quyền Root

Một lỗ hổng bảo mật nghiêm trọng tối đa ảnh hưởng đến LiteSpeed User-End cPanel Plugin đang bị khai thác tích cực. Lỗ hổng CVE-2026-48172 (CVSS 10.0) cho phép kẻ tấn công thực thi các tập lệnh tùy ý với quyền root thông qua lỗi phân quyền không chính xác.
LiteSpeed cPanel Plugin Vulnerability
Lỗ hổng nghiêm trọng trên LiteSpeed cPanel Plugin đang bị khai thác

Một lỗ hổng bảo mật với mức độ nghiêm trọng tối đa ảnh hưởng đến LiteSpeed User-End cPanel Plugin đang bị khai thác tích cực trong thực tế.

Lỗ hổng này, được định danh là CVE-2026-48172 (điểm CVSS: 10.0), liên quan đến lỗi phân quyền không chính xác mà kẻ tấn công có thể lạm dụng để chạy các tập lệnh tùy ý với đặc quyền nâng cao.

"Bất kỳ người dùng cPanel nào (bao gồm cả kẻ tấn công hoặc tài khoản bị xâm nhập) đều có thể khai thác hàm lsws.redisAble để thực thi các tập lệnh tùy ý dưới quyền root", LiteSpeed cho biết.

Lỗ hổng ảnh hưởng đến tất cả các phiên bản của plugin từ 2.3 đến 2.4.4. LiteSpeed WHM Plugin không bị ảnh hưởng. Vấn đề đã được khắc phục trong phiên bản 2.4.5. Nhà nghiên cứu bảo mật David Strydom được ghi nhận là người đã phát hiện và báo cáo lỗi này.

LiteSpeed lưu ý rằng "lỗ hổng đang bị khai thác tích cực", nhưng chưa chia sẻ thêm thông tin chi tiết. Hãng đã cung cấp chỉ số nhận biết xâm nhập (IoC) như sau:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Nếu việc chạy lệnh "grep" nêu trên không cho ra bất kỳ kết quả nào, máy chủ của bạn không bị ảnh hưởng. Tuy nhiên, nếu có kết quả trả về, người dùng được khuyên nên kiểm tra các địa chỉ IP trong danh sách để xác định xem chúng có hợp lệ hay không, và nếu không, hãy thực hiện chặn chúng.

Sau khi rà soát bảo mật các plugin cPanel và WHM sau lỗ hổng này, LiteSpeed cho biết họ đã vá thêm các vector tấn công tiềm năng trong cả hai plugin và phát hành phiên bản plugin cPanel 2.4.7 như một phần của phiên bản WHM plugin 5.3.1.0.

Người dùng được khuyến cáo nên nâng cấp lên LiteSpeed WHM Plugin phiên bản 5.3.1.0, đi kèm với cPanel plugin v2.4.7 hoặc cao hơn, để khắc phục lỗ hổng. Nếu không thể vá lỗi ngay lập tức, khuyến nghị gỡ bỏ plugin phía người dùng bằng cách chạy lệnh sau:

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Diễn biến này xảy ra chỉ vài tuần sau khi một lỗ hổng cPanel nghiêm trọng (CVE-2026-41940, điểm CVSS: 9.8) được xác định là đang bị các tác nhân đe dọa khai thác để triển khai các biến thể Mirai botnet và một dòng ransomware có tên là Sorry.