Een kwetsbaarheid met maximale ernst in de LiteSpeed User-End cPanel-plugin wordt momenteel actief misbruikt. De fout, geregistreerd als CVE-2026-48172 met een CVSS-score van 10.0, betreft een onjuiste toewijzing van privileges waardoor een aanvaller willekeurige scripts met verhoogde rechten kan uitvoeren. LiteSpeed meldde dat elke cPanel-gebruiker, inclusief aanvallers of gecompromitteerde accounts, de functie lsws.redisAble kan misbruiken om scripts als root uit te voeren.

De kwetsbaarheid treft alle versies van de plugin tussen 2.3 en 2.4.4, terwijl de WHM-plugin van LiteSpeed niet kwetsbaar is. De fout is verholpen in versie 2.4.5 van de plugin. Onderzoeker David Strydom wordt erkend voor het ontdekken en melden van deze kwetsbaarheid. LiteSpeed gaf aan dat de kwetsbaarheid actief wordt misbruikt, maar gaf geen verdere details vrij. Wel is een indicator van compromise gedeeld waarmee beheerders kunnen controleren op misbruik door middel van een grep-commando op logbestanden.

Als het grep-commando geen output geeft, is de server niet getroffen. Bij output wordt aangeraden de IP-adressen te controleren en indien nodig te blokkeren. Na een veiligheidsreview van de cPanel- en WHM-plugins heeft LiteSpeed extra mogelijke aanvalsvectoren aangepakt en versie 2.4.7 van de cPanel-plugin uitgebracht, die samen met WHM-plugin versie 5.3.1.0 wordt geleverd. Gebruikers wordt geadviseerd te upgraden naar deze versies om de kwetsbaarheid te dichten. Als directe patching niet mogelijk is, kan de user-end plugin worden verwijderd met een specifiek commando.

Deze ontwikkeling volgt enkele weken na een andere kritieke cPanel-kwetsbaarheid (CVE-2026-41940, CVSS 9.8) die werd misbruikt voor het verspreiden van Mirai-botnetvarianten en de ransomware Sorry.