Kritische LiteSpeed cPanel Plugin-Schwachstelle wird aktiv ausgenutzt: CISA gibt dringende Warnung heraus
Die **U.S. Cybersecurity and Infrastructure Security Agency (CISA)** hat eine eindringliche Warnung bezüglich einer kritischen Schwachstelle, **CVE-2026-48172**, herausgegeben, die das LiteSpeed cPanel User-End Plugin betrifft. Dieser Fehler zur Eskalation von Berechtigungen wird aktiv ausgenutzt, was sofortige Maßnahmen von Bundesbehörden erfordert und Unternehmen des privaten Sektors dringend empfiehlt, ihre Systeme zu patchen.
Bundesbehörden stehen unter dem Druck, **CVE-2026-48172** innerhalb von vier Tagen zu beheben, wie in der **Binding Operational Directive (BOD) 22-01** vorgeschrieben. Die Schwachstelle liegt in der Funktion `lsws.redisAble`, die mit der fehlerhaften Handhabung von **Redis**-Aktivierungs-/Deaktivierungsfunktionen zusammenhängt.
### Technische Details zu CVE-2026-48172
Diese Schwachstelle ermöglicht es entfernten Angreifern ohne Berechtigungen, beliebige Skripte mit Root-Berechtigungen auszuführen. Sie resultiert aus einer fehlerhaften Zuweisung von Berechtigungen innerhalb des **LiteSpeed**-Plugins.
### Dringende Sicherheitsupdates veröffentlicht
**LiteSpeed** hat am Donnerstag dringende Sicherheitsupdates veröffentlicht, um den Fehler zu beheben, und fordert Benutzer auf, das **cPanel** User-End Plugin (gebündelt mit dem WHM Plugin) auf die neueste Version zu aktualisieren. Die Schwachstelle betrifft User-End Plugin-Versionen zwischen v2.3 und v2.4.4.
### Identifizierung und Eindämmung der Schwachstelle
Benutzer können den folgenden Befehl verwenden, um zu überprüfen, ob ihr Server anfällig für **CVE-2026-48172**-Angriffe ist:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Das **LiteSpeed**-Team rät:
> "Wenn dieser Befehl eine Ausgabe liefert, empfehlen wir Ihnen, die IPs in der Liste zu überprüfen, festzustellen, ob sie gültig sind, und sie gegebenenfalls zu blockieren. Um festzustellen, welche Schäden angerichtet wurden, untersuchen Sie die Systemprotokolle auf Aktionen, die von den erkannten IPs durchgeführt wurden."
### CISA-Richtlinie und breitere Auswirkungen
**CISA** hat die Sicherheitslücke in seinen Katalog der in Angriffen ausgenutzten Schwachstellen aufgenommen und US-Bundesbehörden angewiesen, ihre Systeme bis Freitag, den 29. Mai, Mitternacht zu patchen. Obwohl **BOD 22-01** speziell für Bundesbehörden gilt, rät **CISA** allen Verteidigern, einschließlich denen im privaten Sektor, dringend, das Patchen von **CVE-2026-48172** zu priorisieren und ihre Server sofort zu sichern.
**CISA** warnt:
> "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für die Bundesverwaltung. Wenden Sie Eindämmungsmaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die geltenden **BOD 22-01**-Richtlinien für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn keine Eindämmungsmaßnahmen verfügbar sind."
