LiteSpeed - CVE-2026-48172
Date de publication :
Il s'agit d'une vulnérabilité d'assignation incorrecte de privilèges dans la fonction lsws.redisAble du plugin utilisateur LiteSpeed pour cPanel.
LiteSpeed User-End cPanel Plugin est un composant logiciel installé côté utilisateur final dans les environnements d'hébergement mutualisé utilisant la suite cPanel/WHM. Il est la partie cliente du plugin d'administration LiteSpeed Web Server pour cPanel, et offre aux locataires hébergés des fonctionnalités de gestion du cache et des services associés, notamment la gestion de Redis, directement depuis leur interface cPanel.
Cet endpoint JSON-API est exposé par défaut à tout utilisateur cPanel authentifié, y compris les locataires d'hébergement mutualisé. La fonction ne soumet pas les actions d'activation et de désactivation de Redis à une validation suffisante des droits d'exécution, ce qui permet d'invoquer des scripts système arbitraires avec les privilèges du processus parent, lequel s'exécute en tant que root. Il n'existe aucune condition de course ni de contournement d'authentification à exploiter : un unique appel API malformé avec les bons paramètres suffit à déclencher l'escalade.
Elle permet à tout utilisateur cPanel, y compris un compte compromis, d'exécuter des scripts arbitraires en tant que root et d'obtenir un contrôle total du serveur sous-jacent.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Élévation de privilèges
Exploitation
CWE-266 : Incorrect Privilege Assignment
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.