Skip to content
hacker_posts

RCE root dans le plugin LiteSpeed pour cPanel (CVE-2026-48172, CVSS 10.0) — exploitation active

Une élévation de privilège dans le plugin LiteSpeed User-End cPanel permet à n’importe quel compte cPanel d’exécuter du code en root. Le scan massif a démarré 72 h après la divulgation.

Publié le 3 min de lecture
cvelitespeedcpanelrcealerte

Une faille d’élévation de privilège notée CVSS 10.0 dans le plugin LiteSpeed User-End cPanel est actuellement scannée massivement sur les hébergements mutualisés, trois jours après sa divulgation. CVE-2026-48172 permet à n’importe quel utilisateur cPanel — y compris un compte fraîchement acheté chez un hébergeur multi-tenant — d’exécuter des scripts arbitraires en root.

LiteSpeed a publié l’avis le 21 mai. L’exploitation active était confirmée dès le 24 mai.

Ce qui est vulnérable

  • Toutes les versions du plugin LiteSpeed User-End cPanel de 2.3 à 2.4.4.
  • Le plugin WHM n’est pas concerné.
  • Correctif en 2.4.7+, livré avec le plugin WHM 5.3.1.0.

Si vous opérez un mutualisé cPanel sous LiteSpeed Web Server, vous êtes concerné. Si vous êtes tenant sur un tel hébergeur, l’état de patch de votre opérateur fait désormais partie de votre surface d’attaque.

La faille

Le plugin expose une fonction lsws.redisAble, censée permettre l’activation ou la désactivation du cache Redis. La fonction n’applique pas les bornes de privilège : n’importe quel utilisateur cPanel authentifié peut l’invoquer via l’API JSON et faire exécuter le script résultant en root, plutôt qu’en son propre nom.

Concrètement, l’attaque est un POST vers cpanel.lsws.redisAble avec un payload que le plugin exécute en shell root. Aucun bypass d’auth requis — juste un compte cPanel valide sur la machine. Sur un mutualisé, ça coûte trois euros par mois.

La note LiteSpeed est sèche : « Tout utilisateur cPanel (y compris un attaquant ou un compte compromis) peut exploiter la fonction lsws.redisAble pour exécuter des scripts arbitraires en root. »

Exploitation

La faille est scannée avec des outils automatisés — pas une campagne ciblée par un groupe nommé, mais un balayage opportuniste large des installations cPanel/LiteSpeed exposées sur Internet. Comportements post-exploitation observés à ce stade :

  • Dépose de web shells dans /usr/local/cpanel/base/ et les public_html des tenants.
  • Persistance via des entrées cron détenues par root.
  • Récolte d’identifiants depuis /etc/shadow, /var/cpanel/users/* et /etc/proftpd/.
  • Tentatives de pivot vers d’autres tenants sur la même machine.

Détection

LiteSpeed a publié un one-liner pour faire ressortir les tentatives dans les logs cPanel :

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Tout match qui ne correspond pas à une action planifiée de bascule Redis est suspect. Remontez au moins 30 jours en arrière. Si vous trouvez une invocation par un utilisateur non admin, considérez l’hôte comme compromis — reconstruisez à partir d’une image de référence, ne vous contentez pas de supprimer le web shell que vous voyez.

Checklist

  1. Passer le plugin LiteSpeed User-End cPanel en 2.4.7+ — aujourd’hui.
  2. Si patch impossible immédiatement, désactiver l’endpoint JSON API du plugin au niveau WHM.
  3. Lancer le grep ci-dessus sur l’ensemble du parc.
  4. Auditer cron, sudo et /root/.ssh/authorized_keys sur tout hôte qui était joignable depuis Internet avant le patch.
  5. Si vous êtes tenant : demandez à votre hébergeur, par écrit, s’il a patché. La gravité justifie la question.

Articles liés