Специалисты по информационной безопасности зафиксировали активную эксплуатацию опаснейшей уязвимости нулевого дня в плагине LiteSpeed User-End для панели управления хостингом cPanel. Этот дефект безопасности позволяет любому аутентифицированному пользователю cPanel выполнить произвольные скрипты с правами суперпользователя root и получить полный контроль над сервером. Проблема получила идентификатор CVE-2026-48172 и максимальную оценку критичности 10,0 по системе CVSS (единая шкала оценки серьёзности уязвимостей). Разработчики выпустили исправление 21 мая 2026 года.
Корень уязвимости кроется в логической ошибке в конечной точке lsws.redisAble через JSON-API (программный интерфейс для обмена данными в формате JSON). Этот интерфейс по умолчанию доступен каждому вошедшему в cPanel пользователю. Для атаки не требуется выигрывать состояние гонки или обходить аутентификацию: достаточно одного некорректного вызова API с определёнными значениями параметров, чтобы злоумышленник немедленно повысил свои привилегии до root. Особенно опасна эта уязвимость в средах общего хостинга (shared-hosting), где каждый арендатор уже имеет действительную сессию cPanel.
Масштаб угрозы
Любая учётная запись cPanel, включая низкопривилегированного пользователя или злоумышленника, который получил доступ к учётной записи арендатора, может использовать этот дефект для получения root-доступа. Последствия катастрофические: полный компрометация сервера, кража данных, установка бэкдоров и перемещение внутри сети. Поверхность атаки огромна: cPanel управляет миллионами серверов общего хостинга по всему миру, а плагин LiteSpeed User-End широко развёрнут в хостинговых парках благодаря своим функциям кеширования.
Примечательно, что первоначальное уведомление утверждало, что плагин LiteSpeed WHM (инструмент управления хостингом) не затронут. Однако позднее, 21 мая, разработчики пересмотрели свою позицию: полный аудит безопасности выявил дополнительные потенциальные уязвимости в обоих плагинах, хотя об их эксплуатации в реальных атаках пока не сообщалось.
Как обнаружить атаку
Эксплуатация оставляет следы в журналах доступа cPanel. Согласно рекомендациям LiteSpeed, администраторы серверов должны немедленно выполнить следующую команду поиска индикаторов компрометации:
| 1 | grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null |
Любой вывод этой команды указывает на потенциальную попытку эксплуатации. Если обнаружены совпадения, сервер следует считать скомпрометированным. В таком случае необходимо сменить все учётные данные, включая пароли root и ключи SSH, а также проверить задания cron и файл authorized_keys на наличие несанкционированных дополнений.
Реакция разработчиков
Решение cPanel принудительно удалить плагин на всём парке за пять часов до запланированного окна технического обслуживания подчёркивает серьёзность ситуации. Разработчики явно оценили риски от реальной эксплуатации как критически высокие.
Этот инцидент - часть более широкой серии уязвимостей, затронувших экосистему cPanel в мае 2026 года. За 22 дня было выпущено восемь предупреждений, включая критическую уязвимость CVE-2026-41940 (оценка 9,8 по CVSS), которая позволяла обойти аутентификацию без какого-либо взаимодействия с пользователем.
Меры защиты
Администраторам настоятельно рекомендуется немедленно обновить плагин LiteSpeed WHM до версии 5.3.1.0, которая поставляется в комплекте с плагином cPanel версии 2.4.7. Для принудительного полного обновления cPanel следует выполнить команду:
| 1 | /scripts/upcp --force |
Если по каким-то причинам обновление невозможно, уязвимый плагин можно немедленно удалить с помощью команды:
| 1 | /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall |
LiteSpeed также завершила расширенный аудит безопасности совместно с командой cPanel/WebPros, заблаговременно закрыв дополнительные потенциальные векторы атак. Ни один из них, по имеющимся данным, не был использован злоумышленниками.
Анализ ситуации
Подобные инциденты ещё раз подтверждают, насколько уязвимой может быть инфраструктура общего хостинга. Даже одна ошибка в логике работы плагина способна свести на нет все остальные меры защиты, поскольку атакующему не нужно преодолевать сложные барьеры. Достаточно иметь доступ к любой учётной записи cPanel - а в среде shared-хостинга таких учётных записей могут быть тысячи.
Стоит отметить, что уязвимость типа "логическая ошибка" в интерфейсах API становится всё более распространённым вектором атак. Разработчикам плагинов и панелей управления необходимо уделять особое внимание проверке авторизации на каждом API-вызове, особенно когда речь идёт о привилегированных операциях. В данном случае интерфейс lsws.redisAble был доступен всем аутентифицированным пользователям, хотя должен был быть ограничен только администраторами.
Для обычных владельцев сайтов на shared-хостинге эта новость - очередное напоминание о том, что безопасность их данных во многом зависит от действий провайдера. Хороший хостинг-провайдер обязан оперативно устанавливать патчи и проверять серверы на признаки компрометации. Если ваш провайдер до сих пор не сообщил о мерах по устранению CVE-2026-48172, стоит задать ему прямой вопрос.
Выводы
Уязвимость CVE-2026-48172 - одна из самых опасных в экосистеме cPanel за последние годы. Она позволяет любому аутентифицированному пользователю получить root-доступ одним вызовом API. Активная эксплуатация уже идёт, поэтому промедление с обновлением недопустимо. Администраторам хостинга необходимо немедленно проверить логи по указанной команде, выполнить обновление или удаление уязвимого плагина, а также сменить все критические учётные данные на подозрительных серверах. Только комплексный подход к безопасности поможет минимизировать ущерб от этой атаки.
Ссылки
