LiteSpeed cPanel プラグインのゼロデイ CVE-2026-48172 が FIX：サーバ root 権限奪取の恐れ

LiteSpeed cPanel Plugin 0-Day Exploited for Server Root Access

2026/05/23 gbhackers — Web ホスティング・プラットフォームにおける、最も広く普及しているコンポーネントの 1つが、新たな形で攻撃に悪用されている。LiteSpeed User-End cPanel プラグインに存在する深刻なゼロデイ権限昇格の脆弱性 CVE-2026-48172 が、現在進行形で実環境で活発に悪用されている。認証済みの cPanel ユーザーであれば、root 権限で任意のスクリプトを実行し、サーバ全体を完全に制御できる状態となっている。この脆弱性の CVSS スコアは最大値の 10.0 であるが、すでに 2026年5月21日時点で、修正バージョンが公開されている。

この脆弱性の根本的な原因は、プラグインの lsws.redisAble JSON-API エンドポイントに存在するロジック欠陥である。デフォルトにおいて、このエンドポイントがログイン済みの全 cPanel ユーザーに公開されていることが、リスクを増大させる要因となっている。

LiteSpeed cPanel プラグインのゼロデイが悪用

この脆弱性を悪用する攻撃者は、競合状態を制御する必要もなく、認証回避も不要であり、適切なパラメータ値を含む単一の不正 API リクエストのみで侵害を達成し、root 権限への昇格を可能にする。そのため、すべてのテナントが有効な cPanel セッションを保持している、共有ホスティング環境において、この脆弱性は特に危険である。

当初のアドバイザリでは、LiteSpeed の WHM プラグインは影響を受けないと説明されていたが、2026年5月21日の追加情報により、この見解は修正された。包括的なセキュリティ・レビューの結果、両方のプラグインに潜在的な脆弱性が確認されたが、幸いなことに現時点では悪用は報告されていない。

低権限ユーザーを含む任意の cPanel アカウント、または、侵害済みテナント・アカウントを悪用する攻撃者は、root レベルのアクセス権を取得できる。これにより、システムの完全な侵害／データの窃取／バックドアの設置／ラテラル・ムーブメントが引き起こされる恐れがある。

攻撃の対象範囲は広範である。cPanel が、世界中の数百万台の共有ホスティング・サーバで使用されていることに加えて、LiteSpeed User-End プラグインのキャッシュ機能も広範囲に導入されている。

この攻撃は、cPanel のアクセスログに検出可能な痕跡を残すため、管理者は直ちに以下の IOC 検知コマンドを実行すべきである。

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

出力が存在する場合には、侵害試行が行われた可能性がある。管理者は該当ホストを侵害済みとして扱い、root パスワードや SSH キーなどの全認証情報をローテーションし、cron ジョブおよび authorized_keys に不正な追加が存在しないことを監査すべきである。

cPanel は、予定していた TSR (Targeted Security Release) 実施時間の 5時間前に、フリート全体への強制アンインストールを実施した。それが示すのは、リアルタイムでの悪用と結果の重大さである。

この LiteSpeed では、2026年5月の 22日間で、深刻な認証バイパスの脆弱性 CVE-2026-41940 (CVSS：9.8) などの 8件のアドバイザリが発生している。それらは、cPanel エコシステム全体での脆弱性の増加を構成している。

対応策

管理者にとって必要なことは、LiteSpeed WHM Plugin v5.3.1.0 への速やかなアップグレードである。そこには、cPanel Plugin v2.4.7 が含まれている。

cPanel の強制更新を実行するには、以下のコマンドを使用する。

/scripts/upcp --force

アップグレードを行わずに、脆弱なプラグインを削除する場合には、以下のコマンドを実行する。

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

LiteSpeed は cPanel／WebPros チームと連携し、潜在的な攻撃ベクターに対する包括的なセキュリティ・レビューも完了している。これらの問題は、すでに予防的に修正済みであり、現時点での悪用は報告されていない。

訳者後書：今回の脆弱性 CVE-2026-48172 の原因は、プラグインのエンドポイントに存在する、プログラムのロジックの欠陥に起因します。本来であれば、厳しく制限されるべき API が、ログインしているユーザー全員にデフォルトで公開されたことで、単一の不正なリクエストだけで root 権限を奪われる仕組みになっていました。さらに、この環境では、同じ時期に CVE-2026-41940 という別の認証バイパスの脆弱性も確認されています。ご利用のチームは、ご注意ください。よろしければ、LiteSpeed で検索も、ご参照ください。