Eine Sicherheitslücke im LiteSpeed User-End cPanel Plugin zeigt gerade sehr deutlich, warum Hosting-Infrastruktur ein besonders empfindlicher Teil des Netzes ist. Die Schwachstelle CVE-2026-48172 wird aktiv ausgenutzt und betrifft Versionen vor 2.4.5 beziehungsweise den Bereich 2.3 bis 2.4.4. Angreifer können darüber im schlimmsten Fall Skripte mit Root-Rechten ausführen.
Der gefährliche Teil ist nicht nur die Lücke selbst
Auf dem Papier klingt es zunächst wie eine klassische Privilege-Escalation: Ein Fehler in der Redis-Funktion des LiteSpeed-cPanel-Plugins sorgt dafür, dass Berechtigungen falsch gehandhabt werden. Praktisch ist das deutlich unangenehmer. Denn cPanel läuft oft in Hosting-Umgebungen, in denen viele Kundenkonten auf derselben Infrastruktur liegen.
Genau dort wird aus einem Plugin-Fehler ein Plattformproblem. Wenn ein normaler oder kompromittierter cPanel-Zugang ausreicht, um Code mit Root-Rechten auszuführen, fällt die Trennung zwischen Kundenkonto und Server weg. Das ist besonders kritisch für Shared Hosting, Agenturserver und Managed-Hosting-Anbieter.
CISA setzt eine ungewöhnlich kurze Frist
Die US-Behörde CISA hat CVE-2026-48172 in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen und Bundesbehörden angewiesen, die Lücke bis zum 29. Mai 2026 zu beheben. Auch wenn diese Vorgabe formal nur US-Bundesbehörden betrifft, ist die Botschaft klar: Wer LiteSpeed mit cPanel einsetzt, sollte nicht auf den nächsten Wartungstermin warten.
LiteSpeed empfiehlt, das betroffene User-End cPanel Plugin umgehend zu aktualisieren. Laut NVD betrifft die Schwachstelle Versionen vor 2.4.5; die Ausnutzung wurde im Mai 2026 beobachtet. Das übergeordnete WHM-Plugin wird in den vorliegenden Hinweisen nicht als betroffen beschrieben.
Was Betreiber jetzt prüfen sollten
Besonders wichtig ist nicht nur das Update, sondern auch die Frage, ob bereits Ausnutzungsversuche stattgefunden haben. LiteSpeed verweist dafür auf eine Log-Prüfung nach Aufrufen der Funktion redisAble:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Wenn der Befehl Treffer liefert, sollten die betroffenen IP-Adressen geprüft, verdächtige Quellen blockiert und Systemlogs auf nachgelagerte Aktionen untersucht werden. Bei einer möglichen Root-Eskalation reicht es nicht, nur das Plugin zu aktualisieren. Dann muss geprüft werden, ob zusätzliche Nutzer, Skripte, Cronjobs, Webshells oder Persistenzmechanismen angelegt wurden.
Die eigentliche Lehre
Der Fall zeigt, wie viel Risiko in scheinbar kleinen Verwaltungsfunktionen steckt. Redis aktivieren oder deaktivieren klingt nach einer Komfortfunktion im Hosting-Panel. Wenn diese Funktion aber falsch berechtigt ist, wird daraus ein direkter Weg zur Serverübernahme.
Für Betreiber heißt das: Hosting-Plugins gehören in dieselbe Risikoklasse wie CMS-Kerne, Admin-Panels und Remote-Management-Tools. Sie sind nicht Beiwerk, sondern Teil der Sicherheitsgrenze. Und wenn diese Grenze auf Root-Ebene bricht, ist schnelles Patchen nur der erste Schritt.
Quellen: CISA KEV, NVD, LiteSpeed-Hinweise und Berichte von BleepingComputer sowie The Hacker News.
📂
Kategorie
News
Aktuelle Meldungen aus der Tech-Welt – kompakt eingeordnet, ohne Clickbait-Überschriften.
