CISA warns of another cPanel plugin flaw exploited in attacks

Alerte de sécurité : Vulnérabilité critique dans le plugin LiteSpeed cPanel

La CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes sous trois jours suite à l’exploitation active d’une faille critique dans le plugin LiteSpeed pour cPanel. Cette vulnérabilité permet à des attaquants disposant d’un accès FTP ou shell d’escalader leurs privilèges jusqu’au niveau “root” sur des serveurs d’hébergement mutualisé utilisant CloudLinux/CageFS.

Points clés :

• Exploitation active : La vulnérabilité est utilisée par des acteurs malveillants depuis début juin.
• Origine : Le problème provient d’une faiblesse liée au suivi de liens symboliques UNIX (“UNIX symlink following”).
• Urgence : La CISA a intégré cette faille à son catalogue KEV (Known Exploited Vulnerabilities), imposant une correction rapide en raison du risque élevé de compromission totale du système.

Vulnérabilités :

• CVE-2026-48172 : Vulnérabilité de haute gravité affectant toutes les versions du plugin utilisateur LiteSpeed antérieures à la 2.4.8.

Recommandations :

• Mise à jour : Appliquer immédiatement la mise à jour vers la version 2.4.8 ou supérieure du plugin.
• Audit de compromission : Exécuter la commande suivante pour vérifier si des traces d’exploitation sont présentes sur le serveur : grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry .*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null
• Analyse forensique : Si la commande renvoie des résultats, examiner les logs système pour identifier les actions effectuées par les adresses IP sources détectées.

Source