CPanel waarschuwt gebruikers voor een actief aangevallen kwetsbaarheid in een plug-in van LiteSpeed waardoor aanvallers root-toegang tot servers kunnen krijgen. Vanwege de impact en het misbruik heeft cPanel een update uitgebracht die de LiteSpeed-plug-in automatisch bij gebruikers verwijdert. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Beheerders die geen automatische cPanel-updates ontvangen worden opgeroepen de plug-in zelf te verwijderen of de inmiddels verschenen beveiligingsupdates te installeren.
CPanel is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van. Voor cPanel is een plug-in beschikbaar waardoor gebruikers in plaats van Apache gebruik kunnen maken van de LiteSpeed Web Server. De kwetsbaarheid (CVE-2026-48172) in de LiteSpeed-plug-in zorgt ervoor dat elke willekeurige cPanel-gebruiker, waaronder een aanvaller of een gehackt account, op de webserver willekeurige scripts als root kan uitvoeren.
Het beveiligingslek is aanwezig in versies 2.3 tot en met 2.4.4 en verholpen in versie 2.4.5. Op 19 mei werd bekend dat aanvallers actief misbruik van het probleem maken. Dezelfde dag kwam cPanel met een update die de plug-in bij gebruikers verwijdert. De onderliggende webservice blijft wel gewoon functioneren. Gebruikers van de LiteSpeed-plug-in worden opgeroepen om te controleren of er bij hen geen misbruik van het beveiligingslek is gemaakt. Inmiddels hebben de ontwikkelaars van LiteSpeed een security review van de plug-in uitgevoerd. Dit heeft geleid tot versie 2.4.7 waarin 'aanvullende potentiële aanvalsvectoren' zijn verholpen.
Het Amerikaanse cyberagentschap CISA heeft Amerikaanse overheidsinstanties opgedragen om het lek in de LiteSpeed-plug-in binnen drie dagen te patchen. Het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft de bevoegdheid om overheidsinstanties op te dragen wanneer updates voor actief aangevallen beveiligingsupdates moeten zijn geïnstalleerd. Normaliter hanteert het een standaardtermijn van twee weken, maar in gevallen van zeer ernstige problemen wordt een periode van drie dagen gehanteerd, zoals nu het geval is bij het LiteSpeed-lek.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
