Une vulnérabilité de sécurité critique affectant le plugin cPanel User-End de **LiteSpeed** fait l'objet d'une exploitation active. ### CVE-2026-48172 : Escalade de privilèges root La faille, identifiée comme **CVE-2026-48172** (score CVSS : 10.0), résulte d'une mauvaise attribution de privilèges. Un attaquant peut l'exploiter pour exécuter des scripts arbitraires avec des permissions élevées. « Tout utilisateur de cPanel (y compris un attaquant ou un compte compromis) peut exploiter la fonction lsws.redisAble pour exécuter des scripts arbitraires en tant que root », a déclaré **LiteSpeed** dans un avis de sécurité. ### Versions affectées et mesures d'atténuation La vulnérabilité affecte toutes les versions du plugin comprises entre 2.3 et 2.4.4. Le plugin WHM de **LiteSpeed** n'est *pas* affecté. Le problème est résolu dans la version 2.4.5. Le chercheur en sécurité **David Strydom** est crédité de la découverte et du signalement de la faille. **LiteSpeed** a reconnu que la vulnérabilité est activement exploitée, mais s'est abstenu de fournir plus de détails. Ils ont fourni l'indicateur de compromission (IOC) suivant : ```bash grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null ``` Si la commande ne produit aucun résultat, le serveur n'est probablement pas affecté. Cependant, tout résultat justifie un examen immédiat des adresses IP listées pour déterminer leur légitimité. Les IP suspectes doivent être bloquées. ### Correctifs de sécurité supplémentaires Suite à un examen de sécurité, **LiteSpeed** a corrigé des vecteurs d'attaque potentiels supplémentaires dans les plugins cPanel et WHM. Ils ont publié la version 2.4.7 du plugin cPanel dans le cadre de la version 5.3.1.0 du plugin WHM. Il est fortement conseillé aux utilisateurs de mettre à niveau vers la version 5.3.1.0 du plugin WHM de **LiteSpeed** (groupée avec la version 2.4.7 du plugin cPanel ou une version ultérieure) pour corriger la vulnérabilité. Si une correction immédiate n'est pas réalisable, le plugin utilisateur peut être temporairement désinstallé en utilisant la commande suivante : ```bash /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall ``` ### Contexte : Vulnérabilités récentes de cPanel Cette évolution fait suite à la découverte récente d'une autre vulnérabilité critique de cPanel (**CVE-2026-41940**, score CVSS : 9.8) qui a été activement exploitée pour déployer des variantes de botnet **Mirai** et le ransomware **Sorry**.