Un sitio hackeado permite controlar todo el servidor: LiteSpeed parchea una falla crítica que ya está siendo explotada
Cómo un fallo de LiteSpeed derriba las barreras entre cuentas
En el complemento de usuario de LiteSpeed para cPanel se corrigió la vulnerabilidad crítica CVE-2026-48172. La falla ya se está explotando en ataques y permite a cualquier usuario de cPanel, incluido el propietario de una cuenta comprometida, ejecutar scripts arbitrarios con privilegios de root. Para servidores en alojamiento compartido ese escenario es especialmente peligroso: el acceso a una cuenta puede ser un paso hacia el control total del sistema.
El problema afecta específicamente al complemento de usuario de LiteSpeed para cPanel. Según la empresa, el complemento de LiteSpeed para WHM no es vulnerable directamente, pero la versión corregida del complemento para cPanel se distribuye junto con el complemento WHM actualizado. LiteSpeed lanzó la corrección en la versión 2.4.5 del complemento para cPanel y, tras una verificación de seguridad adicional, recomendó actualizar a LiteSpeed WHM Plugin 5.3.1.0, que incluye el complemento para cPanel 2.4.7.
La vulnerabilidad está relacionada con la función lsws.redisAble. Según LiteSpeed, a través de ella un usuario de cPanel podía conseguir la ejecución de scripts como root. En condiciones normales, una cuenta de cPanel debe estar limitada al sitio o al usuario concreto. Aquí se rompió la frontera entre una cuenta normal y los privilegios del sistema, por lo que el error fue clasificado como escalamiento de privilegios.
Están en riesgo las versiones del complemento de usuario de LiteSpeed para cPanel desde la 2.3 hasta la 2.4.4. Los servidores con instalaciones antiguas deben actualizarse lo antes posible, porque la empresa informa directamente sobre explotación activa. Y dado que los ataques ya se están produciendo, los administradores deberían comprobar no solo las versiones, sino también rastros de posible uso de la falla.
Para la verificación, LiteSpeed propone buscar en los registros llamadas a la función vulnerable. La empresa aporta el comando:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullSi el comando no devuelve nada, no se han encontrado signos obvios de explotación por ese indicador. Si hay salida, el administrador debe comprobar las direcciones IP en los registros, separar las peticiones legítimas de las sospechosas, bloquear las fuentes no deseadas y revisar los registros del sistema del mismo período. Así es posible determinar si se ejecutaron como root comandos o scripts que no deberían existir en el servidor.
La recomendación principal de LiteSpeed es actualizar a LiteSpeed WHM Plugin 5.3.1.0 o a una versión posterior. Esta compilación incluye el complemento de usuario para cPanel 2.4.7, en el que se solucionó no solo la vulnerabilidad inicial, sino también problemas adicionales hallados durante la verificación ampliada. La empresa subraya que no hubo informes de explotación de esas vulnerabilidades adicionales: se corrigieron por adelantado tras una auditoría interna y el trabajo con el equipo de cPanel/WebPros.
Si ahora mismo no es posible actualizar el complemento, LiteSpeed propone como medida temporal desinstalar el complemento de usuario para cPanel. Para ello la empresa indica el comando:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallEsta acción desactiva el componente vulnerable y reduce el riesgo hasta que se haga la actualización completa. Pero para servidores en producción es una medida temporal: después de eliminar el complemento, el administrador debe planificar la instalación de la versión corregida y verificar si quedan rastros del ataque en el sistema.
Los primeros avisos sobre el problema llegaron a LiteSpeed el 19 de mayo de 2026. Ese mismo día cPanel envió el comando para eliminar el complemento de usuario y LiteSpeed publicó el complemento para cPanel 2.4.6 y el complemento WHM 5.3.0.0. El 20 de mayo la empresa solicitó un CVE y el 21 de mayo finalizó la verificación de seguridad adicional y lanzó el complemento para cPanel 2.4.7 junto con el complemento WHM 5.3.1.0.
Sobre la vulnerabilidad inicial informó el investigador David Straidem. La empresa también agradeció por separado al equipo cPanel por la rápida reacción, que debía impedir una explotación adicional en otros servidores. Todos los problemas conocidos en el momento de la publicación están cerrados, por lo que no se requieren acciones adicionales para instalaciones actualizadas. Los administradores que no hayan actualizado los complementos de LiteSpeed para cPanel y WHM desde hace tiempo deben instalar la versión más reciente y revisar los registros en busca de llamadas a redisAble.