CISA exige correção imediata do CVE-2026-48172 no plugin LiteSpeed para cPanel após exploração ativa como zero-day

A CISA ordenou que agências federais norte-americanas apliquem em caráter de urgência o patch do CVE-2026-48172, uma vulnerabilidade crítica de escalada de privilégios (CVSS 9.8) no plugin user-end do LiteSpeed para cPanel que já estava sendo explorada como zero-day para executar scripts com privilégios de root, com prazo para correção até 29 de maio.

O que aconteceu

A CISA, agência de cibersegurança e segurança de infraestrutura dos Estados Unidos, emitiu um alerta urgente para que órgãos federais corrijam imediatamente uma falha crítica no plugin user-end do LiteSpeed para o painel cPanel. A vulnerabilidade foi catalogada como CVE-2026-48172, recebeu pontuação 9.8 no CVSS e é descrita como um problema de escalada de privilégios que permite a execução de scripts arbitrários com privilégios de root.

O LiteSpeed resolveu o defeito na semana passada com o lançamento da versão 2.4.5 do plugin user-end, registrando publicamente que a falha estava sendo explorada in-the-wild como zero-day. O plugin WHM, voltado a administradores do servidor, não é afetado. A CISA adicionou na terça-feira o CVE-2026-48172 ao seu catálogo Known Exploited Vulnerabilities (KEV), instrumento usado para impor remediação obrigatória em órgãos federais sob a Binding Operational Directive (BOD) 22-01.

No dia 19 de maio, o próprio cPanel publicou um nightly update que removeu o plugin LiteSpeed user-end de todas as versões do painel, reforçando que a CVE explorada permitia acesso root não autorizado ao servidor — um indicativo da gravidade percebida pelo vendor.

Detalhes da vulnerabilidade

O ponto central do CVE-2026-48172 está no fato de que o plugin user-end opera com privilégios elevados no servidor onde o cPanel está instalado. Uma falha de validação no tratamento de comandos executados pelo plugin permite que um invasor, partindo de uma conta de usuário do painel, escape do contexto restrito e execute código arbitrário com permissões de root — comprometendo todo o servidor de hospedagem e, por extensão, todos os sites e clientes hospedados naquele equipamento.

O LiteSpeed informou que a falha afeta todas as versões do plugin user-end entre 2.3 e 2.4.4. A recomendação oficial é atualizar para o LiteSpeed WHM Plugin 5.3.1.0 ou superior, que vem agora empacotado com a versão 2.4.7 do plugin user-end. Para usuários que não conseguem aplicar o patch de imediato, a orientação é simples: remover o plugin por completo. O vendor também publicou uma lista de IPs envolvidos nas explorações e recomenda inspecionar logs do sistema em busca de atividades suspeitas a partir desses endereços.

“Esta vulnerabilidade está sendo ativamente explorada e representa risco para todas as versões do plugin user-end entre v2.3 e v2.4.4.”

Aviso oficial do LiteSpeed sobre o CVE-2026-48172

Quem é afetado

O cPanel é um dos painéis de hospedagem mais utilizados globalmente, especialmente entre provedores de hospedagem compartilhada e revendedores. O LiteSpeed Web Server e seus plugins compõem uma combinação extremamente comum em ambientes de hosting, o que torna a base instalada vulnerável bastante extensa. Estão em risco direto:

• Provedores de hospedagem compartilhada que usam cPanel + LiteSpeed user-end plugin entre as versões 2.3 e 2.4.4.
• Revendedores e agências que administram servidores cPanel para múltiplos clientes finais.
• Sites WordPress, Magento e outros CMS hospedados em servidores afetados, expostos a comprometimento indireto.
• Agências federais norte-americanas, que têm prazo formal até 29 de maio para correção.
• Operações que mantêm versões antigas do plugin por questões de compatibilidade, sem rotina de patching automatizada.

Análise

O CVE-2026-48172 reforça uma tendência preocupante: vulnerabilidades em camadas de plugin de painéis de hospedagem têm se tornado vetor predileto para campanhas de exploração em massa. Diferentemente de falhas em aplicações isoladas, uma brecha no plugin do painel oferece ao atacante um ponto único de comprometimento que pode resultar em controle total do servidor — e, consequentemente, de dezenas a milhares de sites hospedados. Episódios recentes envolvendo LiteSpeed Cache para WordPress já haviam evidenciado o apetite de atacantes por esse ecossistema.

A inclusão no catálogo KEV da CISA é um sinal claro de que a exploração já se sustenta em escala. O catálogo passou a operar como um termômetro confiável de prioridade de correção: vulnerabilidades adicionadas ali costumam ter prova de exploração ativa observada por múltiplas fontes. Mesmo organizações que não estão formalmente sujeitas à BOD 22-01 fariam bem em tratar o KEV como sua própria fila de remediação prioritária — uma abordagem que reduz drasticamente o número de incidentes graves em estatísticas observadas pela própria agência.

Vale destacar também a postura do cPanel, que optou por remover o plugin afetado em vez de aguardar a aplicação manual de patches. Essa decisão, embora drástica, mostra reconhecimento de que ambientes de hosting compartilhado raramente seguem disciplinas rigorosas de atualização — e que mover para uma solução “off by default” pode ser mais eficaz do que confiar em comportamentos administrativos consistentes.

Recomendações práticas

• Atualize imediatamente para o LiteSpeed WHM Plugin 5.3.1.0 ou superior, com o plugin user-end 2.4.7.
• Se a atualização não for possível em curto prazo, remova totalmente o plugin user-end afetado, conforme orientação do cPanel.
• Examine logs do servidor em busca de atividades originadas dos IPs publicados pelo LiteSpeed; bloqueie endereços validados como maliciosos.
• Audite contas com privilégios elevados criadas ou modificadas nos últimos 30 dias; procure por agendamentos suspeitos no cron e binários incomuns em /tmp, /var/tmp e diretórios web.
• Habilite EDR no servidor de hospedagem e correlacione com regras voltadas a escalada de privilégios via scripts.
• Estabeleça rotina baseada no KEV da CISA: cada nova entrada vira ticket de patching com SLA definido.
• Para provedores de hosting, comunique clientes finais sobre o incidente e a janela de exposição com transparência.

Fonte: SecurityWeek