La Agencia de Ciberseguridad e Infraestructura de Estados Unidos, CISA, ha incluido una vulnerabilidad crítica del plugin LiteSpeed para cPanel en su catálogo de fallos explotados activamente, conocido como Known Exploited Vulnerabilities (KEV). La brecha, identificada como CVE-2026-48172, permite una escalada de privilegios que podría dar a un atacante control total sobre servidores afectados.
El fallo afecta al LiteSpeed User-End cPanel Plugin en versiones anteriores a la 2.4.5 y ya ha sido explotado en ataques reales durante mayo de 2026. Según la descripción técnica recogida por NVD, la vulnerabilidad permite ejecutar scripts con privilegios elevados, posiblemente de administrador o root, desde una cuenta de cPanel autenticada.
Un riesgo crítico para proveedores de hosting compartido
La gravedad del fallo reside en que no requiere acceso administrativo inicial. Cualquier usuario autenticado de cPanel, incluso con pocos privilegios, podría aprovechar la vulnerabilidad para ejecutar código con permisos de root. En un servidor de hosting compartido, donde conviven múltiples cuentas de clientes, este escenario resulta especialmente peligroso.
En la práctica, un atacante que comprometa una cuenta básica de cPanel podría escalar privilegios, modificar sitios web alojados en el mismo servidor, desplegar web shells, manipular archivos de otros usuarios o moverse lateralmente por la infraestructura. Esto convierte el fallo en una amenaza directa para empresas de alojamiento, administradores de sistemas y organizaciones que gestionan entornos multiusuario.
El problema se debe a una gestión incorrecta de privilegios en la interfaz del plugin. Diversos análisis técnicos apuntan a la función lsws.redisAble, que podía ser invocada a través de la API JSON estándar de cPanel para ejecutar scripts con permisos superiores a los del usuario que realiza la llamada.
Parche urgente y plazo de corrección muy reducido
CISA añadió CVE-2026-48172 a su catálogo KEV el 26 de mayo de 2026 y fijó como fecha límite de mitigación el 29 de mayo, un plazo especialmente corto que refleja la urgencia del incidente. Bajo la directiva BOD 22-01, las agencias federales estadounidenses están obligadas a corregir las vulnerabilidades incluidas en este catálogo dentro del periodo establecido.
LiteSpeed corrigió el fallo en la versión 2.4.5 del plugin, mientras que algunos avisos técnicos recomiendan actualizar a versiones posteriores cuando estén disponibles. La compañía también ha aclarado que el plugin WHM de LiteSpeed no está afectado, ya que el problema se encuentra en el componente User-End para cPanel.
La explotación activa incrementa el riesgo para cualquier servidor que mantenga versiones vulnerables. En este tipo de incidentes, el tiempo de exposición es clave: cuanto más se retrase la actualización, mayor será la probabilidad de compromiso.
Qué deben hacer los administradores
Los administradores que utilicen LiteSpeed con cPanel deben comprobar inmediatamente la versión instalada del plugin y actualizarla a una versión corregida. Si no es posible aplicar el parche de forma inmediata, se recomienda deshabilitar o restringir el acceso al plugin hasta completar la mitigación.
También conviene revisar los registros del servidor en busca de actividad sospechosa. NVD recoge una recomendación de detección basada en buscar referencias a cpanel_jsonapi_func=redisAble en los logs de cPanel. Si aparecen coincidencias, los administradores deberían analizar las direcciones IP implicadas, determinar si corresponden a actividad legítima y bloquearlas en caso contrario.
Además, es aconsejable auditar todas las cuentas de cPanel, revisar cambios recientes en archivos web, buscar web shells, comprobar tareas programadas, validar permisos y examinar accesos inusuales. En servidores compartidos, la investigación debe contemplar no solo la cuenta inicialmente comprometida, sino todo el entorno.
CVE-2026-48172 vuelve a demostrar el impacto que pueden tener los fallos de escalada de privilegios en tecnologías ampliamente desplegadas. En entornos de hosting, una vulnerabilidad de este tipo puede convertir una cuenta de bajo nivel en una puerta de entrada para tomar el control completo del servidor.
