Eine Privilege-Escalation-Lücke im LiteSpeed-cPanel-Plugin wird seit Tagen in freier Wildbahn ausgenutzt. Wer einen Shared-Hosting-Server betreibt oder bei einem Anbieter mit LiteSpeed-Stack hostet, sollte den eigenen Logs heute einen einzelnen Bash-Befehl spendieren.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Was steckt hinter CVE-2026-48172?
Die Schwachstelle CVE-2026-48172 wurde am 21. Mai 2026 öffentlich gemacht. Betroffen sind alle Versionen des LiteSpeed User-End cPanel-Plugins vor 2.4.5. Ursache ist die fehlerhafte Handhabung der Redis-Enable/Disable-Funktion. Ein authentifizierter cPanel-Nutzer kann darüber eine Befehlsabfolge auslösen, die in einer Privilegienerhöhung mündet. Im schlimmsten Fall reicht das bis zur Root-Übernahme der gesamten Maschine.
Wichtig zur Abgrenzung: Das parallel laufende LiteSpeed-WHM-Plugin auf Server-Ebene ist nicht betroffen. Die Lücke sitzt ausschließlich im Endkunden-Plugin, das auf den meisten cPanel-Konten standardmäßig aktiv ist.
Wer ist betroffen, und warum trifft es Mitnutzer mit?
Auf Shared-Hosting-Servern teilen sich dutzende bis hunderte Kunden eine cPanel/WHM-Instanz. Erhält ein Angreifer Root-Zugriff, kontrolliert er nicht nur den eigenen Account, sondern alle Datenbanken, FTP-Zugänge und Dateisysteme aller Mitnutzer. Anders gesagt: Eine WordPress-Installation kann makellos sein und trotzdem steht morgen eine fremde Erpresserbotschaft auf der Startseite. Der Grund liegt nicht in der eigenen Site, sondern in der Hosting-Infrastruktur des Providers.
Wer wissen will, welche Anbieter LiteSpeed im Standard ausliefern, findet im Hostinger-Portrait ein konkretes Beispiel für einen LiteSpeed-basierten Managed-Stack.
Wie prüfen Sie Ihren Server auf Spuren?
Der Anbieter empfiehlt einen einzigen Bash-Befehl gegen das cPanel-Log-Verzeichnis:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullLiefert das Kommando keine Ausgabe, ist die Maschine mit hoher Wahrscheinlichkeit nicht angegriffen worden. Tauchen Treffer auf, müssen die zugehörigen IP-Adressen auf Plausibilität geprüft, gegebenenfalls geblockt und die Systemlogs auf die Aktivität dieser Adressen durchforstet werden. Forensik ist an dieser Stelle kein Optional, sondern Pflicht.
Was tun, wenn Sie selbst hosten?
Auf Version 2.4.5 oder neuer aktualisieren. Bei Managed-Hostern lohnt sich aktuell eine kurze E-Mail an den Support mit der Frage, wann gepatcht wurde und ob die Detection-Abfrage bereits gegen die eigenen Logs gelaufen ist. Anbieter, die diese Frage nicht innerhalb von 24 Stunden beantworten können, schreiben unfreiwillig ein Risiko-Profil für den eigenen Service.
Wer cPanel ausliefert, verkauft Vertrauen. Jeder Privilege-Escalation-Befund, der erst durch einen Endkunden-Grep entdeckt wird, ist eine stille Werbung für den Mitbewerber, der schneller gepatcht hat.
— Michael Dobler, Herausgeber Dr. Web
Mehr Newshunger?
Die LiteSpeed-Lücke ist nicht die erste cPanel-Erschütterung dieses Monats. Erst vor Kurzem traf ein Authentication-Bypass über das WP2-Modul tausende Server, und kurz davor sorgte CVE-2026-41940 für hektische Wochenend-Updates bei Shared-Hosting-Anbietern. Wer einen Anbieterwechsel erwägt, vergleicht über den Dr.-Web-Hosting-Vergleich die Patching-Profile, oder nimmt das dogado-Portrait als ISO-27001-Referenz für deutsche Server mit transparenten Wartungsketten.
