Falha crítica no LiteSpeed cPanel
A CISA adicionou ao catálogo de vulnerabilidades exploradas (KEV) uma falha crítica no plugin LiteSpeed para cPanel que permite qualquer usuário autenticado executar scripts como root. A vulnerabilidade CVE-2026-48172, com CVSS 9.8, foi explorada como zero-day antes da correção estar disponível. O prazo de remediação para agências federais foi de apenas três dias — um dos mais curtos já registrados pela CISA, sinalizando a gravidade da exploração ativa em andamento.
Como o ataque funciona
A falha reside na função lsws.redisAble do plugin LiteSpeed User-End cPanel, projetada para permitir que usuários ativem ou desativem o cache Redis em suas próprias contas. O plugin manipula incorretamente a autorização dessas requisições. Ao enviar requisições JSON API craftadas para essa função, um usuário cPanel autenticado consegue escapar do limite normal de privilégios e executar scripts arbitrários com privilégios de root.
Em ambientes de hospedagem compartilhada — onde dezenas ou centenas de sites operam no mesmo servidor — isso significa que a invasão de uma única conta pode comprometer todos os sites hospedados na máquina. O pesquisador David Strydom reportou o problema à LiteSpeed em 19 de maio de 2026.
Versões afetadas e correção
A vulnerabilidade afeta o LiteSpeed User-End cPanel Plugin nas versões 2.3 até 2.4.4. A correção inicial veio na versão 2.4.5, mas uma revisão de segurança mais ampla resultou no lançamento da versão 2.4.7, empacotada junto com o WHM Plugin 5.3.1.0, que corrigiu vetores de ataque adicionais identificados durante a auditoria. O plugin WHM de nível administrativo não é afetado pela falha ativamente explorada.
A cronologia da resposta foi acelerada: em 19 de maio, a cPanel enviou uma desinstalação automática do plugin vulnerável pelo processo de atualização noturna. Em 20 de maio, o CVE foi publicado. Em 21 de maio, a revisão de segurança foi concluída com a versão corrigida 2.4.7.
| Data | Evento | Versão |
|---|---|---|
| 19 de maio de 2026 | LiteSpeed recebe o reporte; cPanel empurra desinstalação automática | Plugin 2.4.6 |
| 20 de maio de 2026 | CVE-2026-48172 publicado | Plugin 2.4.6 |
| 21 de maio de 2026 | Revisão de segurança completa | Plugin 2.4.7 / WHM 5.3.1.0 |
| 26 de maio de 2026 | CISA adiciona ao KEV com prazo de 29 de maio | — |
Risco em hospedagem compartilhada
O perfil de exposição é particularmente preocupante porque o LiteSpeed é um dos servidores web comerciais mais usados no mercado de hospedagem compartilhada. Contas cPanel são rotineiramente provisionadas para clientes finais e revendedores, frequentemente com senhas fracas e sem MFA obrigatório. Uma conta comprometida por phishing, reutilização de credenciais ou vulnerabilidade em aplicação web é suficiente para escalar para root e assumir o servidor inteiro.
A CyCognito identificou que o setor industrial lidera a exposição com 20,3% dos ativos observados, seguido por bens de consumo (16,9%) e serviços de comunicação (16,1%). Provedores de hospedagem, MSPs e agências que permitem que terceiros gerenciem sites via cPanel estão no centro da zona de risco.
Organizações que utilizam LiteSpeed Web Server com cPanel devem atualizar imediatamente para o plugin versão 2.4.7 (WHM Plugin 5.3.1.0). Se a atualização não for possível de imediato, a recomendação é desinstalar o plugin user-end por completo. Logs do cPanel devem ser revisados em busca de chamadas à função cpanel_jsonapi_func=redisAble a partir de contas que não deveriam executar operações de cache.