LiteSpeed cPanel-Plugin: Angriffe auf Schwachstelle beobachtet

Im LiteSpeed-Plugin für cPanel klafft eine Sicherheitslücke, die der Hersteller als kritisch einstuft. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt, dass Angriffe darauf beobachtet wurden. Aktualisierte Software steht bereit.

Die CISA nennt in ihrer Warnung lediglich die attackierte Schwachstelle. Details zu Art und Umfang der Angriffe verrät die Behörde jedoch nicht. Ein eigener Blogbeitrag von LiteSpeed liefert mehr Informationen. Darin stuft das Unternehmen das Update auf Version 2.4.7 oder neuer als dringend ein; seit Version 2.4.5 des Plugins ist das Leck gestopft. Es bessert eine Schwachstelle aus, die das End-User-Plugin für cPanel betrifft. Es handelt sich um ein Leck, das Angreifern das Ausweiten der Rechte ermöglicht. Jeder cPanel-User kann den Fehler in der Funktion lsws.redisAble missbrauchen, um beliebigen Code als root auszuführen (CVE-2026-48172, CVSS 9.8, Risiko „kritisch“). Die Lücke wird demnach in freier Wildbahn bereits angegriffen, verwundbar sind die Versionen 2.3 bis 2.4.4 des Plugins für cPanel.

Prüfung auf erfolgreiche Angriffe

LiteSpeed liefert auch einen Befehl mit, mit dem Admins prüfen können, ob der eigene Server betroffen ist:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Kommt kein Ergebnis zurück, wurde der Server nicht angegriffen. Sofern jedoch Ausgaben erscheinen, sollten IT-Verantwortliche prüfen, ob die IPs zulässig sind und sie gegebenenfalls blockieren. Außerdem sollten in dem Fall die Systemprotokolle untersucht werden, ob die Angreifer Veränderungen vorgenommen haben. Das hilft natürlich nur in den Fällen, in denen Angreifer ihre Spuren nicht verwischt und etwa die Logs bereinigt haben.

cPanel-Admins haben im Mai bereits mehrmals Software-Updates installieren müssen. Vor rund zwei Wochen haben Sicherheitspatches etwa Codeschmuggel-Lücken in der Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) geschlossen.

(dmk)