夜雨聆风LiteSpeed cPanel 插件不正确权限分配漏洞(CVE-2026-48172)
漏洞简介
漏洞编号:CVE-2026-48172
漏洞名称:LiteSpeed cPanel 插件不正确权限分配漏洞
公开时间:2026-05-23
漏洞类型:权限提升,任意代码执行
漏洞等级:严重
产品简介
LiteSpeed cPanel 插件是LiteSpeed推出的面向cPanel面板的用户端插件,允许终端cPanel用户自主管理LiteSpeed Web Server的相关配置,提供Redis配置、缓存管理等便捷功能,广泛应用于虚拟主机托管等Web服务场景。
官网/仓库地址:
https://www.litespeedtech.com/
漏洞描述
该漏洞源于插件的lsws.redisAble函数存在不正确的权限分配问题,未对普通cPanel用户的调用权限做正确限制。任何拥有有效cPanel用户权限的攻击者(包括攻击者自行注册的账户或被攻陷的普通用户账户)都可以利用该漏洞,以root权限执行任意脚本,最终获取服务器完整控制权。该漏洞CVSS评分为10.0,目前已被攻击者在野主动利用,美国CISA已将其纳入已知被利用漏洞目录,利用难度低,危害严重。
影响范围
受影响版本:LiteSpeed User-End cPanel Plugin 2.3 <= 版本 <= 2.4.4不受影响版本:LiteSpeed User-End cPanel Plugin >= 2.4.7备注:LiteSpeed WHM Plugin 全版本不受该漏洞影响
漏洞 POC
https://github.com/HORKimhab/CVE-2026-48172
修复与自查
官方修复方案:升级到LiteSpeed WHM Plugin 版本 5.3.1.0,该版本捆绑了v2.4.7及以上版本的cPanel插件,可修复该漏洞以及官方额外排查出的其他潜在攻击向量。
临时缓解措施:若无法立即完成升级,可以执行命令 /usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall 卸载存在漏洞的用户端cPanel插件。
自查建议:
检查当前安装的LiteSpeed User-End cPanel Plugin版本,若版本低于2.4.7则存在漏洞风险,需要尽快升级; 可执行入侵排查命令 grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null,若无输出说明服务器未被该漏洞利用过,若有输出需排查对应IP的合法性,封禁非法访问IP并做进一步入侵排查。
参考链接
[1]https://nvd.nist.gov/vuln/detail/CVE-2026-48172[2]https://www.cisa.gov/known-exploited-vulnerabilities-catalog[3]https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html
