CVE-2026-48172 : root via LiteSpeed cPanel Plugin (CVSS 10)

Les faits

CVE-2026-48172 est une vulnérabilité de sévérité maximale affectant le plugin LiteSpeed User-End pour cPanel, avec un score CVSS 3.1 de 10.0. Elle touche toutes les versions du plugin comprises entre 2.3 et 2.4.4 incluse. Divulguée et exploitée activement fin mai 2026, cette faille constitue un 0-day exploité en conditions réelles avant même la disponibilité du correctif officiel, selon les rapports de The Hacker News et GBHackers publiés le 23 mai 2026.

LiteSpeed Web Server est un serveur web haute performance largement adopté comme alternative à Apache dans les environnements cPanel/WHM. Grâce à ses performances supérieures et sa compatibilité native avec les configurations Apache, il équipe des milliers d'hébergeurs dans le monde. Le plugin LiteSpeed User-End permet aux titulaires de comptes cPanel d'interagir directement avec certaines fonctionnalités du serveur web : gestion du cache LSCache, configuration des règles de réécriture, et activation de fonctionnalités avancées. Ce plugin est installé par défaut dans de nombreuses configurations LiteSpeed et accessible à tous les utilisateurs cPanel du serveur, y compris les clients d'hébergement mutualisé à faibles privilèges.

La vulnérabilité est classifiée CWE-266 (Incorrect Privilege Assignment). Elle réside dans l'endpoint JSON-API lsws.redisAble, exposé par défaut à tout utilisateur cPanel authentifié. Cet endpoint ne dispose d'aucune vérification d'autorisation pour valider que l'appelant dispose des droits nécessaires avant d'exécuter des actions privilégiées. En envoyant une requête HTTP malformée avec des paramètres spécifiquement construits, un attaquant peut forcer le démon LiteSpeed — qui s'exécute avec les droits root — à exécuter des scripts arbitraires en son nom, sans aucune interaction supplémentaire.

Ce qui distingue CVE-2026-48172 des failles LPE classiques est la redoutable simplicité de son exploitation. Contrairement à de nombreuses élévations de privilèges locales qui nécessitent des race conditions, du heap grooming ou des contournements d'ASLR, CVE-2026-48172 est entièrement déterministe : une seule requête HTTP suffit, sans timing précis ni contournement de mécanismes de protection. Selon les analyses de CyberPress et TheHackerWire, le taux de succès est proche de 100 % dans les configurations vulnérables, rendant ce vecteur particulièrement attractif pour des campagnes d'exploitation automatisées.

Le vecteur CVSS complet est AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H. Le vecteur d'attaque réseau (AV:N) signifie que l'exploitation ne nécessite pas d'accès physique ou local au serveur. La complexité d'attaque faible (AC:L) confirme l'absence de conditions particulières. Les privilèges requis de niveau faible (PR:L) correspondent à un simple compte cPanel standard, obtenu légalement ou via une compromission préalable. La portée changée (S:C) reflète la capacité à passer du contexte isolé d'un compte cPanel sandbox au contexte root du système hôte entier, ce qui justifie le score maximal de 10.0.

La chronologie de la divulgation est particulièrement alarmante. D'après le GitHub Advisory Database (référence GHSA-fxrh-cwjh-m33v), des preuves d'exploitation active ont été identifiées avant la publication du correctif officiel, confirmant le statut de 0-day exploité. Face à l'urgence, cPanel a pris la décision exceptionnelle de forcer une désinstallation en masse du plugin sur l'ensemble de sa flotte de serveurs gérés, sans attendre une action volontaire des administrateurs. Cette réponse hors-norme illustre la criticité de la menace et l'ampleur de la vague d'exploitation observée.

Le correctif officiel, sous la forme de la version 2.4.7 du plugin cPanel bundled avec WHM Plugin 5.3.1.0, a été publié par LiteSpeed Technologies le 21 mai 2026. Les versions affectées sont toutes les versions de 2.3 à 2.4.4 incluse. Une solution d'atténuation alternative existe : désinstaller entièrement le plugin utilisateur via la commande SSH /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall, ce qui supprime l'endpoint vulnérable. LiteSpeed Technologies recommande également une mise à jour vers LiteSpeed Web Server 6.3.x pour bénéficier des dernières protections dans l'ensemble du stack.

Aucun indicateur de compromission officiel n'a été publié par LiteSpeed Technologies à la date de rédaction. Les équipes de sécurité doivent surveiller : des requêtes POST anormales dans les logs cPanel vers des endpoints contenant la chaîne lsws.redisAble, des processus lancés avec l'UID 0 initiés depuis des processus enfants du worker LiteSpeed, des entrées suspectes dans /var/spool/cron/root, de nouvelles clés SSH dans /root/.ssh/authorized_keys, et des modifications non planifiées de /etc/passwd ou /etc/shadow.

Impact et exposition

Sont exposés tous les serveurs web utilisant LiteSpeed Web Server avec le plugin cPanel User-End installé en version vulnérable (2.3 à 2.4.4). Cette configuration est très répandue chez les hébergeurs web proposant cPanel/WHM, les revendeurs hébergement, et les administrateurs de serveurs dédiés ou VPS sous LiteSpeed. La popularité de LiteSpeed dans l'écosystème cPanel se traduit par une surface d'attaque globale considérable, potentiellement des dizaines de milliers de serveurs dans le monde.

Le risque est maximal dans les environnements d'hébergement mutualisé. Sur ces infrastructures, un seul serveur héberge les données de centaines ou milliers de clients différents. Un attaquant ayant obtenu un accès root peut : exfiltrer les données de l'ensemble des comptes hébergés (bases de données, fichiers, emails, certificats TLS), installer des backdoors persistantes, utiliser le serveur comme plateforme de phishing ou de spam, déployer des cryptomineurs, ou pivoter vers le réseau interne de l'hébergeur pour compromettre d'autres systèmes de gestion.

Pour les entreprises opérant leurs propres serveurs dédiés sous cPanel/LiteSpeed, l'impact est tout aussi critique. L'accès root permet une compromission totale et irréversible sans réinstallation complète du système. L'exploitation active confirmée indique que des acteurs malveillants ont déjà intégré CVE-2026-48172 dans leurs outils d'attaque, rendant l'exposition de serveurs non patchés d'autant plus dangereuse dans les heures suivant la divulgation publique.

Recommandations immédiates

• Mettre à jour vers LiteSpeed User-End cPanel Plugin v2.4.7 ou supérieure (WHM Plugin 5.3.1.0) — LiteSpeed Technologies Security Advisory, mai 2026
• En l'absence de patch possible : désinstaller le plugin via /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
• Auditer les logs cPanel et LiteSpeed pour des requêtes POST vers lsws.redisAble depuis le 1er mai 2026
• Rechercher des processus root anormaux, des entrées crontab non autorisées et des modifications de /root/.ssh/authorized_keys
• Activer l'authentification à deux facteurs sur tous les comptes cPanel pour réduire la surface d'attaque initiale
• Mettre en place une règle WAF bloquant les requêtes POST vers l'endpoint lsws.redisAble en attendant le patch