CVE nghiêm trọng CVE-2026-48172 trong LiteSpeed cPanel user-end plugin đang bị khai thác chủ động để leo thang đặc quyền lên root trên các máy chủ Linux hosting. Đây là một lỗ hổng zero-day ảnh hưởng trực tiếp đến an toàn thông tin của môi trường dùng LiteSpeed cPanel plugin.
Lỗ hổng CVE-2026-48172 Trong LiteSpeed CPanel Plugin
LiteSpeed cho biết lỗi nằm trong hàm lsws.redisAble được lộ qua user-end cPanel plugin. Kẻ tấn công có quyền truy cập từ một tài khoản cPanel hợp lệ có thể lợi dụng lỗi này để thực thi script tùy ý với đặc quyền root.
Phạm vi ảnh hưởng gồm các phiên bản v2.3 đến trước v2.4.5 của LiteSpeed cPanel user-end plugin. Theo thông tin công bố, WHM plugin không bị ảnh hưởng trực tiếp trong thành phần này.
Đây là một lỗ hổng CVE có tính chất remote code execution theo hướng leo thang đặc quyền nội bộ, vì chỉ cần một tài khoản cPanel hợp lệ là có thể chuyển sang kiểm soát toàn bộ máy chủ.
Ảnh Hưởng Hệ Thống Và Mức Độ Rủi Ro
LiteSpeed xác nhận lỗ hổng CVE-2026-48172 đã bị khai thác trong thực tế, khiến nó trở thành một zero-day vulnerability tại thời điểm phát hiện. Trên các hệ thống chưa vá, một tenant độc hại hoặc một tài khoản shared hosting đã bị xâm nhập có thể pivot sang chiếm quyền điều khiển máy chủ.
Điểm rủi ro của sự cố này nằm ở chỗ quyền truy cập ban đầu không cần đặc quyền quản trị. Chỉ cần một tài khoản người dùng hợp lệ trong cPanel là đủ để tạo điều kiện cho xâm nhập trái phép và leo thang lên mức root.
LiteSpeed đã phát hành bản sửa lỗi trong cPanel plugin v2.4.5 và các bản bundled release mới hơn. Quản trị viên cần cập nhật ngay để giảm nguy cơ hệ thống bị tấn công.
Chuỗi Phiên Bản Bị Ảnh Hưởng Và Bản Vá Bảo Mật
Các phiên bản bị ảnh hưởng là LiteSpeed cPanel user-end plugin v2.3 đến v2.4.4. Bản vá cho lỗ hổng CVE này đã có trong v2.4.5 và các bản phát hành mới hơn.
LiteSpeed cũng khuyến nghị nâng cấp lên LiteSpeed WHM Plugin v5.3.1.0 hoặc cao hơn, đi kèm cPanel plugin v2.4.7, vì bản này bao gồm sửa lỗi cho CVE-2026-48172 cùng các tăng cường từ rà soát bảo mật rộng hơn.
Tham khảo thông tin liên quan tại nguồn công khai: GitHub Advisory GHSA-fxrh-cwjh-m33v.
Kiểm Tra IOC Và Dấu Hiệu Khai Thác
Quản trị viên có thể kiểm tra nhanh dấu vết khai thác bằng cách tìm các lệnh gọi đến hàm dễ bị tấn công trong log cPanel. Đây là bước quan trọng để phát hiện xâm nhập và đánh giá mức độ ảnh hưởng.
grep -R "lsws.redisAble" /usr/local/cpanel/logs/Nếu lệnh không trả về kết quả, hiện chưa có bằng chứng khai thác trên máy chủ đó. Nếu có kết quả, cần điều tra ngay nguồn phát sinh, xác minh địa chỉ IP, chặn các địa chỉ đáng ngờ và rà soát log hệ thống để tìm hoạt động sau xâm nhập.
IOC Cần Theo Dõi
- Hàm bị lạm dụng: lsws.redisAble
- Thành phần bị ảnh hưởng: LiteSpeed cPanel user-end plugin
- Phiên bản bị ảnh hưởng: v2.3 đến v2.4.4
- Phiên bản đã vá: v2.4.5 trở lên
- Dấu hiệu trong log: Lời gọi bất thường tới hàm liên quan từ ngữ cảnh tài khoản cPanel
Hướng Dẫn Ứng Phó Và Cập Nhật Bản Vá Bảo Mật
Nếu chưa thể vá ngay, LiteSpeed khuyến nghị gỡ bỏ hoàn toàn user-end plugin như một biện pháp containment. Đây là cách giảm nhanh nguy cơ rủi ro bảo mật trên hệ thống chưa thể cập nhật ngay lập tức.
Song song, cPanel đã triển khai việc gỡ tự động plugin dễ bị tấn công thông qua bản cập nhật bảo mật ngày 19/05/2026, đồng thời hướng dẫn khách hàng ép cập nhật để loại bỏ thành phần có nguy cơ.
Quản trị viên nên đối chiếu trạng thái gói đang cài đặt, ưu tiên cập nhật đồng bộ cPanel và các thành phần LiteSpeed liên quan. Trong bối cảnh này, cập nhật bản vá là bước bắt buộc, không nên trì hoãn.
Dòng Thời Gian Công Bố Và Khắc Phục Lỗ Hổng CVE
Sự cố được kích hoạt sau báo cáo ban đầu từ một nhà nghiên cứu bảo mật vào ngày 19/05/2026. Từ đó, LiteSpeed và đội ngũ cPanel/WebPros đã mở quy trình phản ứng khẩn cấp.
LiteSpeed phát hành cPanel plugin v2.4.6 và WHM plugin v5.3.0.0 trong cùng ngày. Bản áp dụng cho CVE-2026-48172 được hoàn thiện vào ngày 20/05, và đợt rà soát bảo mật tiếp theo kết thúc với cPanel plugin v2.4.7 cùng WHM plugin v5.3.1.0 vào ngày 21/05.
Một số vấn đề bổ sung được phát hiện và khắc phục trong quá trình rà soát, nhưng hiện chưa có báo cáo cho thấy các lỗ hổng thứ cấp này bị khai thác ngoài thực tế.
Khuyến Nghị Kỹ Thuật Cho Quản Trị Viên
Với các máy chủ đang chạy LiteSpeed cPanel plugin cũ, cần giả định có khả năng hệ thống bị xâm nhập nếu chưa vá kịp thời. Ưu tiên của đội vận hành là rà soát tiến trình, lịch sử lệnh, file thay đổi bất thường và các kết nối ra ngoài từ ngữ cảnh cPanel.
Các hệ thống đã cập nhật vẫn nên kiểm tra log để xác minh không có hoạt động bất thường trước thời điểm vá. Nếu phát hiện truy cập trái phép, cần cô lập máy chủ, thu thập log phục vụ điều tra và thay đổi thông tin xác thực liên quan.
Lỗ hổng CVE-2026-48172 là ví dụ điển hình của một cảnh báo CVE cần phản ứng nhanh: kiểm tra phiên bản, xác minh log khai thác, áp dụng bản vá bảo mật và loại bỏ thành phần không còn an toàn.
