Securitate cibernetică16 iun. 2026
CISA impune agențiilor federale SUA un termen de 3 zile pentru patch la o vulnerabilitate exploatată în pluginul LiteSpeed pentru cPanel - escaladare la root pe servere de shared hosting CloudLinux/CageFS
CISA a impus agențiilor federale americane un termen de trei zile pentru a securiza serverele împotriva unei vulnerabilități exploatate activ într-un plugin LiteSpeed pentru cPanel, o situație care poate afecta operațional și furnizorii de găzduire partajată prin riscul de escaladare la drepturi „root” (control total asupra sistemului), potrivit BleepingComputer . Vulnerabilitatea este urmărită ca CVE-2026-48172 și a fost raportată de Namecheap. Conform informațiilor, un atacator care are deja acces prin FTP sau printr-un „web shell” (un instrument care permite rularea de comenzi pe server) poate escalada privilegiile până la „root” pe servere de găzduire partajată care rulează CloudLinux/CageFS. Problema afectează toate versiunile pluginului „user-end” mai vechi de 2.4.8 și are la bază o slăbiciune de tip „UNIX symlink following” (urmărirea unor legături simbolice care pot redirecționa accesul către fișiere nepermise). Ce cere CISA și de ce contează pentru operațiuni CISA a adăugat luni vulnerabilitatea în Known Exploited Vulnerabilities Catalog (KEV) și a ordonat agențiilor din Federal Civilian Executive Branch (FCEB) să își securizeze sistemele în termen de trei zile, în baza directivei Binding Operational Directive (BOD) 26-04 . Directiva, emisă săptămâna trecută, a înlocuit BOD 19-02 și 22-01 și cere prioritizarea remedierilor în funcție de riscul de exploatare. În evaluarea riscului, CISA indică drept factori-cheie: includerea în KEV, expunerea publică a activelor, posibilitatea automatizării exploatării la scară și dacă atacul oferă control parțial sau total asupra sistemului țintă. Ce recomandă LiteSpeed: actualizare și verificări în loguri LiteSpeed a semnalat exploatarea activă la începutul lunii iunie și a publicat actualizări de securitate, recomandând actualizarea pluginului cPanel „user-end” (livrat împreună cu pluginul WHM) la cea mai recentă versiune. Compania indică și o comandă pentru a verifica dacă serverul ar putea fi vulnerabil sau deja vizat: grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry.*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null Dacă această comandă produce rezultate, LiteSpeed spune că vulnerabilitatea ar fi putut fi exploatată și recomandă examinarea jurnalelor de sistem pentru acțiunile inițiate de adresele IP detectate. Context: o nouă alertă după un caz similar luna trecută CISA avertizase și luna trecută asupra unei alte vulnerabilități LiteSpeed pentru cPanel, despre care a spus că a fost exploatată de atacatori neautentificați pentru a executa scripturi arbitrare cu privilegii „root”. [...]
