De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft federale instanties vier dagen gegeven om hun servers te beveiligen tegen een kritieke kwetsbaarheid in de LiteSpeed cPanel user-end plugin. Deze kwetsbaarheid, geregistreerd als CVE-2026-48172, wordt momenteel actief misbruikt in aanvallen.

Het gaat om een privilege-escalatieprobleem dat verband houdt met een onjuiste afhandeling van de Redis enable/disable functionaliteit binnen de lsws.redisAble functie. Door een foutieve toewijzing van rechten kunnen aanvallers zonder privileges op afstand willekeurige scripts uitvoeren met rootrechten. LiteSpeed heeft daarom dringende beveiligingsupdates uitgebracht en adviseert gebruikers om de cPanel user-end plugin, die wordt meegeleverd met de WHM plugin, zo snel mogelijk te updaten naar de nieuwste versie.

Gebruikers kunnen met het commando grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null controleren of hun server kwetsbaar is voor aanvallen via CVE-2026-48172. De LiteSpeed-ontwikkelaars waarschuwen dat alle versies van de user-end plugin tussen v2.3 en v2.4.4 risico lopen. Indien het commando output geeft, wordt aanbevolen om de IP-adressen te onderzoeken, te bepalen of deze legitiem zijn en zo niet, deze te blokkeren. Ook dient men de systeemlogs te controleren op verdachte acties van deze IP’s.

Op dinsdag heeft CISA de kwetsbaarheid toegevoegd aan haar catalogus van actief misbruikte kwetsbaarheden en federale instanties opgedragen om hun systemen uiterlijk vrijdag 29 mei middernacht te patchen, conform de Binding Operational Directive (BOD) 22-01. Hoewel deze richtlijn alleen geldt voor Amerikaanse overheidsinstanties, dringt CISA er bij alle organisaties op aan om prioriteit te geven aan het patchen van CVE-2026-48172 en hun servers zo snel mogelijk te beveiligen.

De cybersecurityorganisatie benadrukt dat dit type kwetsbaarheid een veelgebruikte aanvalsvector is voor kwaadwillende cyberactoren en aanzienlijke risico’s vormt voor de federale infrastructuur. Organisaties wordt geadviseerd mitigaties volgens de instructies van de leverancier toe te passen, de relevante BOD 22-01 richtlijnen voor cloudservices te volgen of het product niet langer te gebruiken als mitigaties ontbreken.