La sécurité des environnements d’hébergement web reste un enjeu majeur, en particulier lorsqu’il s’agit de solutions largement utilisées comme cPanel et LiteSpeed Web Server. En mai 2026, une vulnérabilité critique d’élévation de privilèges a été découverte dans le plugin LiteSpeed côté utilisateur pour cPanel, exposant potentiellement des serveurs à une compromission complète.
Cette faille, identifiée sous le numéro CVE-2026-48172 et notée 10.0 sur l’échelle CVSS, a conduit LiteSpeed, cPanel et WebPros à publier rapidement des correctifs et des recommandations de sécurité.
Dans cet article, nous revenons sur le contexte de cette vulnérabilité, les versions affectées, les risques pour les administrateurs système ainsi que les mesures à appliquer immédiatement pour sécuriser les serveurs concernés.
1. Contexte de la vulnérabilité
1.1 Un plugin largement utilisé dans les environnements cPanel
Le plugin LiteSpeed côté utilisateur pour cPanel permet aux utilisateurs et administrateurs de gérer certaines fonctionnalités de LiteSpeed Web Server directement depuis l’interface cPanel. Cette intégration est couramment utilisée dans les environnements d’hébergement mutualisé afin de simplifier la gestion du cache et des paramètres liés au serveur web.
Comme tout composant disposant d’interactions privilégiées avec le système, ce type de plugin représente également une surface d’attaque potentielle lorsqu’une mauvaise gestion des permissions est présente.
Selon LiteSpeed, les versions comprises entre 2.3 et 2.4.4 contenaient une vulnérabilité liée à la fonction :
lsws.redisAbleCette faiblesse permettait à un utilisateur cPanel, y compris un compte compromis, d’exécuter des scripts arbitraires avec les privilèges root.
1.2 Une vulnérabilité activement exploitée
LiteSpeed a confirmé que la vulnérabilité faisait l’objet d’exploitations actives dans la nature au moment de sa divulgation.
Le problème a été signalé par le chercheur en sécurité David Strydom le 19 mai 2026. À la suite de ce signalement, LiteSpeed et l’équipe cPanel ont rapidement déployé des mesures de mitigation et publié des correctifs de sécurité.
2. Chronologie des correctifs
Voici les principales étapes de la gestion de l’incident :
- 19 mai 2026 : LiteSpeed est alerté du problème.
- 19 mai 2026 : cPanel diffuse une commande permettant de désinstaller le plugin côté utilisateur afin de réduire les risques.
- 19 mai 2026 : publication du plugin cPanel v2.4.6 et du plugin WHM v5.3.0.0.
- 20 mai 2026 : attribution de l’identifiant CVE-2026-48172.
- 21 mai 2026 : publication des versions v2.4.7 et v5.3.1.0 après un audit de sécurité complémentaire réalisé avec l’aide de l’équipe cPanel/WebPros.
3. Impact pour les administrateurs système
Un attaquant disposant d’un accès à un compte cPanel vulnérable peut potentiellement :
- exécuter des scripts arbitraires avec les privilèges root ;
- modifier des fichiers système ;
- installer des portes dérobées ;
- créer des utilisateurs privilégiés ;
- désactiver des mécanismes de sécurité ;
- compromettre les données hébergées sur le serveur.
Dans un environnement mutualisé, l’impact peut concerner plusieurs sites et plusieurs clients simultanément.
4. Comment vérifier si un serveur a été affecté
LiteSpeed recommande aux administrateurs d’utiliser la commande suivante afin de rechercher d’éventuelles traces d’exploitation de la vulnérabilité dans les journaux système :
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullSi cette commande ne retourne aucun résultat, cela signifie qu’aucun indicateur connu d’exploitation n’a été détecté sur le serveur. En revanche, si des résultats apparaissent, les administrateurs doivent examiner attentivement les adresses IP affichées afin de déterminer si elles sont légitimes ou potentiellement malveillantes.
Lorsqu’une activité suspecte est détectée, il est fortement conseillé d’effectuer une analyse approfondie du système. Cela inclut la vérification des journaux système, la recherche de comptes utilisateurs inconnus, l’inspection des tâches cron suspectes ainsi que l’analyse des fichiers récemment modifiés. Les administrateurs devraient également rechercher la présence éventuelle de webshells, de scripts malveillants ou d’autres mécanismes de persistance pouvant avoir été installés après l’exploitation de la faille.
5. Mesures de protection recommandées
La première mesure à appliquer consiste à mettre à jour immédiatement les plugins LiteSpeed vers les versions corrigées publiées par l’éditeur. LiteSpeed recommande l’utilisation des versions v2.4.7 du plugin cPanel et v5.3.1.0 du plugin WHM, qui corrigent la vulnérabilité CVE-2026-48172 ainsi que d’autres vecteurs d’attaque potentiels identifiés lors d’un audit de sécurité complémentaire.
Si une mise à jour immédiate n’est pas possible, LiteSpeed recommande de supprimer temporairement le plugin côté utilisateur afin de limiter les risques d’exploitation. Cette opération peut être réalisée avec la commande suivante :
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallAu-delà du correctif lui-même, cet incident rappelle l’importance d’une surveillance continue des infrastructures d’hébergement. Les administrateurs devraient maintenir cPanel et tous les plugins associés à jour, surveiller régulièrement les journaux système et activer des alertes de sécurité afin d’être rapidement informés en cas d’activité anormale.
Conclusion
La vulnérabilité CVE-2026-48172 rappelle qu’un simple problème de gestion des permissions peut conduire à une compromission complète d’un serveur d’hébergement.
Grâce à une réaction rapide des équipes LiteSpeed et cPanel, des correctifs ont été publiés rapidement afin de limiter les risques d’exploitation.
Les administrateurs utilisant le plugin LiteSpeed côté utilisateur pour cPanel doivent vérifier immédiatement leur version installée et appliquer les mises à jour de sécurité recommandées.
Dans le domaine de la cybersécurité, maintenir les logiciels à jour, surveiller les journaux système et appliquer les correctifs rapidement restent les meilleures défenses contre les attaques modernes.
Référence officielle : https://blog.litespeedtech.com/2026/05/21/security-update-for-litespeed-cpanel-plugin/