Web ホスティングで広く使われる「LiteSpeed User-End cPanel Plugin」に、CVSS 最高値の 10.0 と評価された権限昇格の脆弱性「CVE-2026-48172」が見つかり、実際の攻撃で悪用されています(初報は 5 月 23 日)。標準的な共有ホスティング権限しか持たない cPanel ユーザーでも、サーバー上で root 権限で任意のスクリプトを実行でき、サーバーの完全な乗っ取りにつながります。
主なポイント
- 原因は
lsws.redisAble関数の不適切な権限割り当て (CWE-266)。認証済みの一般 cPanel ユーザーが root へ昇格できる - 影響範囲は LiteSpeed User-End cPanel Plugin 2.3〜2.4.4
- 修正は 2.4.5 で実施。セキュリティレビューを経た 2.4.7 (WHM Plugin 5.3.1.0 同梱) 以降への更新が推奨される
- 標的型ではなく、自動化ツールによる無差別な探索・悪用が観測されており、共有ホスティング環境が広く危険にさらされている
- 直ちに更新できない場合は、ユーザー向けプラグインのアンインストールが暫定的な回避策
出典: LiteSpeed cPanel Plugin CVE-2026-48172 Exploited to Run Scripts as Root (The Hacker News)