LiteSpeed cPanel Plugin dính lỗ hổng nghiêm trọng

LiteSpeed cPanel Plugin dính lỗ hổng nghiêm trọng CVE-2026-48172, đang bị khai thác thực tế để chạy script với quyền root.

Một lỗ hổng bảo mật mức độ nghiêm trọng tối đa đã được phát hiện trên plugin LiteSpeed User-End dành cho cPanel và hiện đang bị khai thác ngoài thực tế.

Lỗ hổng có mã định danh CVE-2026-48172, đạt điểm CVSS 10.0, liên quan đến việc phân quyền không chính xác. Kẻ tấn công có thể lợi dụng lỗi này để thực thi các script tùy ý với quyền cao nhất (root).

Theo LiteSpeed: “Bất kỳ tài khoản cPanel nào (bao gồm tài khoản bị xâm nhập hoặc kẻ tấn công có quyền truy cập) đều có thể khai thác hàm lsws.redisAble để chạy script tùy ý dưới quyền root.”

Phiên bản bị ảnh hưởng:

Lỗ hổng ảnh hưởng đến tất cả phiên bản plugin từ 2.3 đến 2.4.4.

• Plugin WHM của LiteSpeed không bị ảnh hưởng.
• Lỗi đã được vá trong phiên bản 2.4.5.
• Nhà nghiên cứu bảo mật David Strydom là người phát hiện và báo cáo lỗ hổng này.

LiteSpeed cho biết lỗ hổng hiện đang bị khai thác thực tế nhưng chưa công bố chi tiết kỹ thuật cụ thể.

Kiểm tra dấu hiệu bị khai thác

LiteSpeed cung cấp lệnh sau để kiểm tra dấu hiệu tấn công:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Ý nghĩa kết quả

• Nếu lệnh không trả về kết quả nào → server chưa ghi nhận dấu hiệu bị khai thác.
• Nếu có kết quả → cần kiểm tra các địa chỉ IP xuất hiện trong log:
  • Nếu là IP hợp lệ của quản trị viên hoặc hệ thống nội bộ thì có thể an toàn.
  • Nếu là IP lạ → nên chặn ngay và kiểm tra toàn bộ server để phát hiện mã độc hoặc backdoor.

LiteSpeed phát hành bản vá mới

Sau khi rà soát bảo mật toàn bộ plugin cPanel và WHM, LiteSpeed đã vá thêm nhiều vector tấn công tiềm ẩn khác.

Phiên bản mới được phát hành:

• LiteSpeed WHM Plugin: 5.3.1.0
• Tích hợp cPanel Plugin: 2.4.7

Người dùng được khuyến nghị nâng cấp ngay để vá hoàn toàn lỗ hổng này.

• WHM Plugin 5.3.1.0
• hoặc cPanel Plugin 2.4.7 trở lên

Giải pháp tạm thời nếu chưa thể cập nhật

Nếu chưa thể update ngay, LiteSpeed khuyến nghị gỡ bỏ plugin User-End bằng lệnh:

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

Bối cảnh đáng lo ngại

Sự việc này xảy ra chỉ vài tuần sau khi một lỗ hổng nghiêm trọng khác của cPanel là CVE-2026-41940 (CVSS 9.8) bị khai thác để phát tán:

• biến thể botnet Mirai
• ransomware mang tên “Sorry”

Điều này cho thấy các hệ thống hosting cPanel hiện đang là mục tiêu tấn công rất mạnh của tin tặc.

Xem thêm: https://thehackernews.com/2026/05/litespeed-cpanel-plugin-cve-2026-48172.html

Đỗ Trung Quân

CÔNG TÁC TẠI AZDIGI

Với kinh nghiệm thực chiến từ việc tiếp xúc hàng ngày với vô vàn vấn đề về Website, Hosting, VPS, Server tại Phòng Kỹ thuật AZDIGI, mình luôn ấp ủ niềm đam mê chia sẻ kiến thức.

Mình xây dựng các blog không chỉ để tự trau dồi kỹ năng mà còn để cung cấp những tài liệu, hướng dẫn hữu ích nhất đến cộng đồng. Rất mong nhận được sự quan tâm của các bạn!

Hỗ Trợ Hosting / VPS / WordPress Hỗ Trợ Xử Lý Mã Độc

Đăng ký tư vấn miễn phí

Để lại thông tin, mình sẽ phản hồi ngay.

Họ và tên

Số điện thoại

TƯ VẤN MIỄN PHÍ Chọn dịch vụ Xử lý mã độc WordPress Thiết kế website Quản trị VPS/Server Dịch vụ WordPress (Quản trị/Fix lỗi/Nâng cấp) Tư vấn & Triển khain (Server - Hosting - Email)

GỬI YÊU CẦU TƯ VẤN