CISA zařadila 26. května 2026 do katalogu Known Exploited Vulnerabilities zranitelnost CVE-2026-48172 v LiteSpeed User-End cPanel Plugin. Zranitelnost dosahuje nejvyššího možného skóre CVSS 10.0, je aktivně zneužívána a federální agentury USA mají povinnost aplikovat záplatu do 29. května 2026.

Zranitelnost spočívá v nesprávném přiřazení oprávnění ve funkci lsws.redisAble pluginu LiteSpeed User-End cPanel. Každý autentizovaný uživatel cPanel – tedy běžný zákazník sdíleného hostingu bez jakýchkoliv administrátorských práv – může tuto funkci zneužít ke spuštění libovolného skriptu nebo příkazu s právy roota na celém fyzickém serveru. Na sdíleném hostingu to znamená, že jeden zákazník může číst, měnit nebo mazat data všech ostatních zákazníků na tomtéž stroji, instalovat rootkit nebo odposlouchávat síťový provoz. Útočník nepotřebuje žádnou zvláštní znalost prostředí – stačí platný přihlašovací účet ke cPanelu, který je standardní součástí většiny hostingových balíčků.

Zranitelnost se týká verzí pluginu 2.3 až 2.4.4. Opravená verze 2.4.5 byla vydána a správci serverů ji musí nainstalovat okamžitě. Provedení záplaty je přitom záležitostí minut: aktualizace pluginu probíhá buď přes administrátorské rozhraní WHM, nebo příkazem na příkazové řádce. Odložení záplaty na serveru, který obsluhuje desítky nebo stovky zákazníků, je nepřijatelné – aktivní zneužívání potvrzené CISA znamená, že exploit je dostupný a používaný.

LiteSpeed Web Server je nasazený na milionech hostingových serverů po celém světě a cPanel je dominantní správcovské rozhraní v segmentu sdíleného hostingu. Kombinace masového rozšíření a triviálního zneužití – útok nevyžaduje ani znalost CVE, ani pokročilé technické dovednosti, pouze platný účet – z CVE-2026-48172 dělá zranitelnost s mimořádně vysokým reálným dopadem. Správci sdíleného hostingu by měli kromě okamžité záplaty zkontrolovat logy přístupu k funkci lsws.redisAble za posledních 30 dní a v případě podezřelé aktivity incident prošetřit jako potenciální kompromitaci celého serveru.