Alerta

Alerta 2026-65 Vulnerabilidad en LiteSpeed cPanel Plugin

Producto(s) afectado(s): 

  • LiteSpeed User-End cPanel Plugin versiones 2.3 a 2.4.4
  • LiteSpeed User-End cPanel Plugin versiones anteriores a 2.4.5
  • Entornos Linux que utilicen LiteSpeed Web Server integrado con cPanel
  • Proveedores de hosting compartido, hosting administrado y VPS con cPanel habilitado

Descripción

Se ha identificado la vulnerabilidad crítica CVE-2026-48172 (CVSS 10.0) en LiteSpeed User-End cPanel Plugin, una falla de tipo Incorrect Privilege Assignment (CWE-266) que permite a usuarios autenticados de cPanel escalar privilegios y ejecutar código arbitrario con permisos de root en el servidor afectado. La vulnerabilidad ha sido confirmada como explotada activamente en entornos reales durante mayo de 2026.

La falla se encuentra en la funcionalidad de habilitación y deshabilitación de Redis, específicamente en la función lsws.redisAble, la cual procesa solicitudes a través de la API JSON de cPanel. Un atacante con acceso a una cuenta válida de cPanel puede abusar de esta funcionalidad para ejecutar scripts arbitrarios con privilegios elevados y comprometer completamente el servidor.

La explotación resulta especialmente peligrosa en entornos de hosting compartido, donde una única cuenta comprometida puede permitir el control completo del servidor y afectar a múltiples clientes hospedados en el mismo sistema.

Diversas fuentes reportan que la vulnerabilidad fue incorporada al catálogo de Known Exploited Vulnerabilities (KEV) debido a la existencia de explotación activa observada en Internet.

Solución

Se recomiendan la siguientes acciones de forma inmediata:

  • Actualizar el plugin LiteSpeed User-End cPanel Plugin a la versión 2.4.7 o superior.
  • Actualizar LiteSpeed WHM Plugin a la version 5.3.1.0 o superior.

Información adicional: