1. Alertas de Seguridad
  2. Vulnerabilidad Critica (CVE-2026-48172) - Escalación de Privilegios en el Plugin de LiteSpeed para cPanel

Vulnerabilidad Critica (CVE-2026-48172) - Escalación de Privilegios en el Plugin de LiteSpeed para cPanel

Fecha de publicación: Vie, 29/05/2026 - 10:46

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad, identificada formalmente como CVE-2026-48172, es una falla de asignación incorrecta de privilegios (registrada técnicamente como CWE-266) localizada en la función "lsws.redisAble" del plugin de LiteSpeed orientado a usuarios finales en cPanel. Esta función está diseñada para que los clientes activen o desactiven de forma dinámica el servicio de caché de Redis en sus respectivos entornos de alojamiento. Sin embargo, al ser invocada mediante la interfaz de programación (API JSON) de cPanel bajo la variable "cpanel_jsonapi_func=redisAble", el sistema no valida correctamente la identidad ni los límites del usuario que realiza la solicitud. Debido a esto, el comando se procesa y ejecuta con los privilegios más altos de administración del sistema operativo en lugar de los del usuario solicitante. Como consecuencia, cualquier atacante que acceda a través de una cuenta de cPanel autenticada (o explotando endpoints expuestos a la red) puede forzar la ejecución de scripts maliciosos con nivel "root".

Recursos afectados

  • LiteSpeed User-End cPanel Plugin en versiones desde la 2.3 hasta la 2.4.4.
  • Servidores Linux que utilicen cPanel y tengan habilitado el mencionado complemento de usuario final de LiteSpeed.
  • El plugin LiteSpeed WHM de administración principal en versiones anteriores a la 5.3.1.0, por ser el paquete que distribuye las versiones vulnerables del plugin de usuario.

Solución

Se recomienda a los administradores de sistemas actualizar el plugin cPanel de LiteSpeed a la versión 2.4.7 o superior. Asimismo, se debe actualizar el plugin principal LiteSpeed WHM a la versión 5.3.1.0 o superior. El parche inicial para este fallo se incluyó en la versión 2.4.5 del plugin de cPanel. Sin embargo, el fabricante recomienda aplicar la versión 2.4.7 para garantizar la corrección completa frente a variantes de ataque similares.

Mitigación

Si no es posible aplicar la actualización de manera inmediata, se deben adoptar las siguientes medidas para contener el riesgo:

  • Desinstalación del plugin de usuario, puede eliminar por completo el plugin del extremo de usuario de LiteSpeed ejecutando la siguiente instrucción desde la consola de comandos del servidor como administrador:/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall (Nota: El plugin administrador WHM no está afectado de forma directa y no necesita ser eliminado).
  • Establecer reglas en un Firewall de Aplicaciones Web (WAF) o proxy inverso para interceptar y bloquear cualquier solicitud entrante dirigida a la API de cPanel que contenga la cadena de caracteres: cpanel_jsonapi_func=redisAble.
  • Limitar el acceso público a las interfaces web de administración (cPanel/WHM) para permitir conexiones únicamente desde direcciones IP corporativas de confianza o mediante túneles VPN seguros.

Indicadores de compromiso

  • Peticiones sospechosas en registros de solicitudes entrantes HTTP dirigidas a los endpoints de la API de cPanel que incluyan llamadas específicas a la función de habilitar o deshabilitar Redis mediante el parámetro cpanel_jsonapi_func=redisAble.
  • Creación, activación o modificación inesperada de archivos de configuración de Redis o de archivos de unidad de servicios (systemd) en fechas y horas inmediatamente posteriores a solicitudes de red externas no autorizadas.
  • Ejecución de nuevas tareas o scripts con el rol de administrador (root) que hayan sido iniciados en ventanas de tiempo sospechosamente cercanas a las llamadas del plugin de usuario de cPanel.
  • Detección de tráfico saliente del servidor web iniciado directamente por procesos del plugin de cPanel hacia direcciones IP externas que no pertenezcan a la red administrativa de la organización o del host.
  • Modificaciones imprevistas en los archivos de usuarios del sistema o la inserción de nuevas llaves SSH autorizadas en directorios de usuarios privilegiados para asegurar un acceso continuo tras el ataque inicial.

Recomendaciones

  • Se recomienda el análisis de registros históricos, para descartar que se hayan consolidado accesos no autorizados.
  • En caso de confirmar una explotación exitosa, trate el sistema como comprometido; inicie de inmediato el protocolo de rotación de credenciales, claves criptográficas y restauración desde respaldos limpios si fuera necesario.
  • Configure su sistema SIEM para alertar en tiempo real ante llamadas externas exitosas (HTTP 200) que invoquen la función de la API de Redis en cPanel

Referencias