Eine Privilege-Escalation-Lücke im LiteSpeed-cPanel-Plugin wird seit Tagen in freier Wildbahn ausgenutzt. Wer einen Shared-Hosting-Server betreibt oder bei einem Anbieter mit LiteSpeed-Stack hostet, sollte den eigenen Logs heute einen einzelnen Bash-Befehl spendieren.
Was steckt hinter CVE-2026-48172?
CVE-2026-48172: LiteSpeed cPanel-Plugin vor v2.4.5 ermöglicht Privilegienerhöhung durch fehlerhafte Redis-Funktion für authentifizierte NutzerDie Schwachstelle CVE-2026-48172 wurde am 21. Mai 2026 öffentlich gemacht. Betroffen sind alle Versionen des LiteSpeed User-End cPanel-Plugins vor 2.4.5. Ursache ist die fehlerhafte Handhabung der Redis-Enable/Disable-Funktion. Ein authentifizierter cPanel-Nutzer kann darüber eine Befehlsabfolge auslösen, die in einer Privilegienerhöhung mündet. Im schlimmsten Fall reicht das bis zur Root-Übernahme der gesamten Maschine.
Wichtig zur Abgrenzung: Das parallel laufende LiteSpeed-WHM-Plugin auf Server-Ebene ist nicht betroffen. Die Lücke sitzt ausschließlich im Endkunden-Plugin, das auf den meisten cPanel-Konten standardmäßig aktiv ist.
Wer ist betroffen, und warum trifft es Mitnutzer mit?
Auf Shared-Hosting-Servern gefährdet ein Root-Zugriff durch Angreifer alle Kunden: Fremde kontrollieren Datenbanken, FTP und Dateisysteme aller MitnutzerAuf Shared-Hosting-Servern teilen sich dutzende bis hunderte Kunden eine cPanel/WHM-Instanz. Erhält ein Angreifer Root-Zugriff, kontrolliert er nicht nur den eigenen Account, sondern alle Datenbanken, FTP-Zugänge und Dateisysteme aller Mitnutzer. Anders gesagt: Eine WordPress-Installation kann makellos sein und trotzdem steht morgen eine fremde Erpresserbotschaft auf der Startseite. Der Grund liegt nicht in der eigenen Site, sondern in der Hosting-Infrastruktur des Providers.
Wer wissen will, welche Anbieter LiteSpeed im Standard ausliefern, findet im Hostinger-Portrait ein konkretes Beispiel für einen LiteSpeed-basierten Managed-Stack.
Wie prüfen Sie Ihren Server auf Spuren?
Bash-Befehl zur Überprüfung von cPanel auf redisAble-Angriffe in den Logdateien /var/cpanel/logs und /usr/local/cpanel/logs/Der Anbieter empfiehlt einen einzigen Bash-Befehl gegen das cPanel-Log-Verzeichnis:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullLiefert das Kommando keine Ausgabe, ist die Maschine mit hoher Wahrscheinlichkeit nicht angegriffen worden. Tauchen Treffer auf, müssen die zugehörigen IP-Adressen auf Plausibilität geprüft, gegebenenfalls geblockt und die Systemlogs auf die Aktivität dieser Adressen durchforstet werden. Forensik ist an dieser Stelle kein Optional, sondern Pflicht.
Was tun, wenn Sie selbst hosten?
Auf Version 2.4.5 oder neuer aktualisieren. Managed-Hoster sollten Support fragen, wann gepatcht wurde und ob Detection-Abfrage gegen Logs liefAuf Version 2.4.5 oder neuer aktualisieren. Bei Managed-Hostern lohnt sich aktuell eine kurze E-Mail an den Support mit der Frage, wann gepatcht wurde und ob die Detection-Abfrage bereits gegen die eigenen Logs gelaufen ist. Anbieter, die diese Frage nicht innerhalb von 24 Stunden beantworten können, schreiben unfreiwillig ein Risiko-Profil für den eigenen Service.
Wer cPanel ausliefert, verkauft Vertrauen. Jeder Privilege-Escalation-Befund, der erst durch einen Endkunden-Grep entdeckt wird, ist eine stille Werbung für den Mitbewerber, der schneller gepatcht hat.
— Michael Dobler, Herausgeber Dr. WebMehr Newshunger?
LiteSpeed-Sicherheitslücke bei cPanel: Nach Authentication-Bypass im WP2-Modul und CVE-2026-41940 bereits die dritte Bedrohung für Shared-Hosting-ServerDie LiteSpeed-Lücke ist nicht die erste cPanel-Erschütterung dieses Monats. Erst vor Kurzem traf ein Authentication-Bypass über das WP2-Modul tausende Server, und kurz davor sorgte CVE-2026-41940 für hektische Wochenend-Updates bei Shared-Hosting-Anbietern. Wer einen Anbieterwechsel erwägt, vergleicht über den Dr.-Web-Hosting-Vergleich die Patching-Profile, oder nimmt das dogado-Portrait als ISO-27001-Referenz für deutsche Server mit transparenten Wartungsketten.
