CVE-2026-48172 : exploitation active CVSS 10 LiteSpeed cPanel

Les faits

Le 21 mai 2026, LiteSpeed Technologies a publié un avis de sécurité d'urgence concernant CVE-2026-48172, une vulnérabilité d'escalade de privilèges affectant le plugin LiteSpeed User-End pour cPanel. Avec un score CVSS de 10.0 — la note maximale possible — cette faille cumule une exploitabilité triviale, une absence de conditions préalables complexes, et un impact total sur la confidentialité, l'intégrité et la disponibilité des systèmes compromis.

La vulnérabilité réside dans la fonction lsws.redisAble, responsable de l'activation et de la désactivation des fonctionnalités Redis pour les utilisateurs finaux du plugin. En raison d'une affectation incorrecte des privilèges dans le traitement de cette fonction, tout utilisateur cPanel authentifié — y compris un simple compte client sans droits administratifs — peut déclencher l'exécution de scripts arbitraires avec les droits de l'utilisateur root du système d'exploitation hôte. Cette primitive d'exécution root suffit à compromettre l'intégralité du serveur : configurations système, bases de données, archives, clés privées SSL, et l'ensemble des hébergements présents sur la machine.

Les versions concernées vont de LiteSpeed User-End cPanel Plugin 2.3 jusqu'à 2.4.4 inclus. Selon les données d'exposition publiées par les chercheurs de Rescana et Field Effect, environ 1,5 million d'instances sont accessibles depuis Internet et potentiellement vulnérables, dont une proportion significative chez des hébergeurs mutualisés qui proposent LiteSpeed comme serveur web haute performance à leurs clients.

L'exploitation active a été confirmée dès le 22 mai 2026, soit le lendemain de la divulgation publique. Les premières campagnes observées sont de nature opportuniste : des acteurs malveillants analysent en masse les serveurs exposés pour détecter la présence du plugin via l'endpoint cPanel API, puis envoient des requêtes forgées exploitant le paramètre cpanel_jsonapi_func=redisAble. Une fois l'exécution root obtenue, les vecteurs post-exploitation observés incluent le déploiement de webshells persistants, l'installation de cryptomineurs, la création de comptes root masqués, et l'exfiltration de clés SSH et de fichiers .env contenant des identifiants de bases de données et de services tiers.

LiteSpeed Technologies a réagi avec la publication de la version 5.3.1.0 du plugin WHM, distribué conjointement avec le cPanel plugin v2.4.7. Le délai entre la détection interne et la publication du bulletin est estimé à environ 72 heures — mais ce délai n'a pas empêché l'exploitation active de démarrer avant que la plupart des administrateurs systèmes soient informés. C'est précisément ce problème de fenêtre d'exposition qui rend cette classe de vulnérabilités si difficile à gérer pour les équipes IT sous-dimensionnées.

Pour les environnements ne pouvant pas mettre à jour immédiatement, LiteSpeed propose une mitigation temporaire : désinstaller le plugin utilisateur via /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall. Cette action supprime le vecteur d'attaque sans impacter le fonctionnement du serveur web LiteSpeed ni les sites hébergés.

La détection des tentatives d'exploitation passe par l'inspection des journaux cPanel. La commande grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null permet d'identifier des appels suspects. Toute occurrence avec des timestamps anormaux ou des comptes inhabituels doit être traitée comme un incident de sécurité confirmé.

Les chercheurs de PurpleOps et CyberSecurityNews soulignent que la nature mutualisée des environnements cPanel amplifie considérablement l'impact : un seul compte client compromis suffit à prendre le contrôle d'un serveur hébergeant potentiellement des centaines de sites et boîtes mail. Les hébergeurs sont les premiers concernés, mais toute entreprise utilisant cPanel + LiteSpeed chez un prestataire tiers doit interpeller ce dernier pour confirmer la mise à jour déployée.

Impact et exposition

L'impact de CVE-2026-48172 est maximal dans les contextes d'hébergement mutualisé ou semi-dédié. Tout utilisateur disposant d'un accès cPanel valide — compte légitime ou malveillant (accès revendu sur des marchés criminels) — peut élever ses privilèges jusqu'au niveau root sans interaction supplémentaire, sans exploiter de faille réseau externe, et sans laisser de traces dans les journaux standards. Les conditions d'exploitation sont minimales : authentification cPanel standard, accès à l'API cPanel (port 2083 par défaut), présence du plugin vulnérable.

Les acteurs ciblant les environnements d'hébergement web — pour déployer du phishing, du SEO spam, ou de la distribution de malware via des sites légitimes — ont un intérêt direct et immédiat dans cette vulnérabilité. Des compromissions de masse sont à anticiper tant que les serveurs non patchés restent accessibles.

Recommandations

• Mise à jour immédiate : déployer LiteSpeed WHM Plugin 5.3.1.0 avec cPanel plugin v2.4.7 ou supérieur sur tous les serveurs exposés
• Mitigation d'urgence : si la mise à jour n'est pas immédiatement faisable, désinstaller le plugin user-end via /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
• Audit des journaux : rechercher cpanel_jsonapi_func=redisAble dans les logs cPanel des 30 derniers jours pour détecter une exploitation rétrospective
• Revue des comptes et clés SSH : vérifier l'absence de comptes système créés récemment et auditer /root/.ssh/authorized_keys
• Notification hébergeur : si vous êtes client chez un hébergeur cPanel+LiteSpeed, exiger par écrit la confirmation de la version du plugin déployée