Управление по кибербезопасности и инфраструктурной безопасности США (CISA) внесло в свой каталог известных эксплуатируемых уязвимостей (KEV) очередную критическую проблему. Речь идёт об уязвимости CVE-2026-48172, которая затрагивает плагин LiteSpeed для панели управления хостингом cPanel. По данным ведомства, злоумышленники уже активно используют этот баг в реальных атаках. Почему эта новость важна для владельцев серверов и администраторов? Давайте разберёмся.
Что произошло
26 мая 2026 года CISA добавило в KEV-каталог запись об уязвимости CVE-2026-48172. Сама проблема была опубликована 21 мая, но факты эксплуатации в дикой природе зафиксированы уже в мае текущего года. Уязвимость позволяет злоумышленнику повысить свои привилегии в системе - вплоть до получения прав root, то есть полного административного доступа. Под ударом оказались пользователи плагина LiteSpeed для cPanel и WHM (WebHost Manager) - популярных инструментов управления веб-хостингом.
Согласно описанию, проблема связана с некорректной обработкой функций включения и отключения Redis. Redis - это система управления базами данных в памяти, часто используемая для кеширования. Разработчики допустили ошибку в коде, из-за которой не было должного контроля над тем, какие действия может выполнять пользователь с ограниченными правами. В результате атакующий может выполнить команды от имени администратора, что ведёт к полной компрометации сервера.
Кого касается угроза
Уязвимость затрагивает плагин LiteSpeed для cPanel версий от 2.3 до 2.4.7 (до исправления). Версия 2.4.5, на которую ссылаются в описании, считается минимально рекомендуемой, но безопасной является только версия 2.4.7. Кроме того, проблема стоит в WHM-плагине LiteSpeed версий до 5.3.1.0. Все эти продукты работают на платформе Linux, которая является основной для веб-хостинга. Таким образом, под угрозой находятся тысячи хостинг-провайдеров и их клиентов по всему миру.
Важно понимать: атака не требует авторизации. Вектор атаки - сетевой, а значит, злоумышленник может отправить специально сформированный запрос на сервер, не имея никаких учётных данных. Это делает уязвимость особенно опасной - её можно эксплуатировать удалённо, без предварительного доступа к панели управления.
Как обнаружить следы эксплуатации
В официальном бюллетене CISA приводится конкретная команда для проверки компрометации. Администраторам предлагают выполнить в Bash (командной оболочке) следующий поиск: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null. Если вывод пуст, атаки не было. Если же есть строки, содержащие этот запрос, значит, уязвимость могла быть использована. В таком случае нужно изучить IP-адреса, с которых поступали такие запросы, проверить их на принадлежность к злоумышленным источникам и, при необходимости, заблокировать. Более того, стоит проанализировать системные журналы на предмет действий, совершённых с этих адресов, чтобы оценить ущерб.
Технические детали
Уязвимости присвоен идентификатор CWE-266 - "некорректное назначение привилегий". Это означает, что продукт неправильно распределяет права доступа, позволяя субъекту (пользователю, процессу) выполнять действия, на которые у него нет разрешения. Оценка критичности по шкале CVSS версии 4.0 составила максимальные 10 баллов. Вектор атаки - сетевой (AV:N), сложность атаки низкая (AC:L), не требуется ни привилегий, ни взаимодействия с пользователем (PR:N, UI:N). Вектор влияния: высокая конфиденциальность, целостность и доступность для системной и гостевой среды (VC:H, VI:H, VA:H, SC:H, SI:H, SA:H). Проще говоря, уязвимость можно использовать без каких-либо усилий, а последствия будут катастрофическими - злоумышленник получит полный контроль над сервером, сможет читать любые файлы, изменять данные, устанавливать вредоносное ПО и парализовать работу.
Чего ждать специалистам
Добавление в KEV-каталог CISA - серьёзный сигнал для всех администраторов. Это означает, что американское агентство подтвердило факты реальной эксплуатации и теперь требует от федеральных ведомств принять меры в установленные сроки. Однако угроза касается не только государственного сектора: любой хостинг-провайдер, использующий cPanel и плагин LiteSpeed, должен немедленно проверить свои версии.
Если в вашей инфраструктуре используется уязвимая конфигурация, последствия могут включать не только потерю управления сервером, но и утечку данных клиентов, компрометацию всех сайтов, размещённых на нём, а также использование мощностей сервера для DDoS-атак или майнинга криптовалют. Восстановление после такой атаки обычно требует полной переустановки системы и смены всех паролей, что приводит к длительным простоям.
Рекомендации
Самое эффективное решение - обновить плагин LiteSpeed для cPanel до версии 2.4.7 или выше, а для WHM-плагина - до 5.3.1.0. Если по каким-то причинам обновление невозможно, следует временно отключить функции Redis в плагине или ограничить доступ к панели управления только доверенными IP-адресами. Кроме того, необходимо выполнить ту самую команду grep, чтобы убедиться, что атака не произошла раньше. В случае обнаружения следов эксплуатации нужно действовать по протоколу реагирования на инциденты: изолировать сервер, собрать логи и обратиться к специалистам по расследованию киберинцидентов.
Выводы
Критическая уязвимость CVE-2026-48172 в плагине LiteSpeed для cPanel - это напоминание о том, насколько опасными могут быть ошибки в настройке привилегий в популярном программном обеспечении для хостинга. Поскольку атака не требует аутентификации и выполняется удалённо, её эксплуатация стала массовой буквально за несколько дней с момента публикации. Пользователям стоит поторопиться с установкой заплаток, чтобы не стать очередной жертвой киберпреступников. Каталог KEV от CISA в очередной раз доказал свою полезность: он позволяет оперативно получать информацию о реально эксплуатируемых угрозах и своевременно на них реагировать. В современном мире быстрота реакции на уязвимость - это ключ к сохранению контроля над инфраструктурой.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-48172
- https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog
