Wer einen eigenen Server mit cPanel betreibt oder bei einem Shared-Hoster Kunde ist, sollte hier ganz genau hinschauen. Unter CVE-2026-48172 klafft eine Lücke im LiteSpeed-User-End-Plugin für cPanel, die so gravierend ist, dass cPanel sie mit einem Notfall-Update beantwortet hat. Und ja: Sie wird bereits aktiv ausgenutzt — es handelt sich also um einen echten Zero-Day.
SCHOCK: Vom normalen Account direkt zu ROOT
Das Kernproblem sitzt in der Funktion lsws.redisAble, die über das User-End-Plugin im cPanel erreichbar ist. Über sie kann jeder beliebige cPanel-Nutzer Skripte mit Root-Rechten ausführen. Root ist auf einem Linux-Server der Administrator mit allen Rechten — wer hier landet, kontrolliert die komplette Maschine. Das Erschreckende: Es braucht keinen Hacker von außen. Ein einziger gültiger cPanel-Account genügt.
Warum das gerade beim Webhosting brandgefährlich ist
Auf einem typischen Shared-Hosting-Server teilen sich viele Kunden dieselbe Maschine — jeder mit seinem eigenen cPanel-Account. Genau das macht die Lücke so explosiv: Ein böswilliger Kunde oder ein bereits gekaperter Account (etwa über ein schwaches Passwort oder ein verwundbares CMS) kann sich über die Lücke vom eigenen, eng begrenzten Bereich zur vollständigen Server-Übernahme hochhangeln. Damit sind dann alle anderen Websites auf demselben Server in Gefahr. Die Fachwelt nennt diesen Sprung „Privilege Escalation“ — die Rechteausweitung vom kleinen Nutzer zum Allmächtigen.
So schnell reagierten cPanel und LiteSpeed
Der Ablauf zeigt, wie ernst die Lage genommen wurde. Nach der Meldung des Sicherheitsforschers David Strydom am 19. Mai ging es Schlag auf Schlag:
- 19. Mai: LiteSpeed bringt am selben Tag cPanel-Plugin v2.4.6 und WHM-Plugin v5.3.0.0 heraus.
- 20. Mai: Beantragung der CVE-Nummer CVE-2026-48172.
- 21. Mai: Nach voller Sicherheitsprüfung folgen cPanel-Plugin v2.4.7 und WHM-Plugin v5.3.1.0.
UNGEWÖHNLICH: cPanel wirft das Plugin einfach raus
Besonders bemerkenswert ist cPanels Reaktion: Statt nur auf den Hersteller-Patch zu warten, hat cPanel in das eigene Update einen automatischen Fix eingebaut, der das verwundbare Plugin beim Update komplett deinstalliert. Server, auf denen das Plugin lief, haben es nach Einspielen des cPanel-Updates vom 19. Mai schlicht nicht mehr. Das ist eine harte, aber konsequente Notbremse — Sicherheit geht hier klar vor Bequemlichkeit.
So prüfst du, ob du betroffen bist
Betroffen sind LiteSpeed-User-End-Plugin-Versionen ab v2.3 bis vor v2.4.5. Wenn du einen eigenen Server administrierst, kannst du in den Logs nach Ausnutzungsspuren suchen. Der passende Befehl auf der Server-Kommandozeile lautet:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Findest du dort Treffer, deutet das auf Ausnutzungsversuche hin — dann ist eine genauere Untersuchung des Servers angeraten. Bist du nur Hosting-Kunde ohne Root-Zugriff, frag bei deinem Anbieter nach, ob das Update bereits eingespielt wurde. Seriöse Hoster haben das längst erledigt.
FAZIT: Updaten und durchatmen
Eine 0-Day-Lücke, die jeden Account zum Root macht, ist der Albtraum jedes Hosters — aber die Reaktion war vorbildlich schnell. Spiel das aktuelle cPanel-Update ein (es entfernt das Plugin) bzw. aktualisiere auf Plugin v2.4.7 / WHM v5.3.1.0. Danach ist die akute Gefahr vom Tisch.
Häufige Fragen
Welche Versionen sind von CVE-2026-48172 betroffen?
Wie merke ich, ob mein Server angegriffen wurde?
Wie behebe ich das Problem konkret?
Gab es schon aktive Angriffe?
Quellen:
SystemTek ·
Cyber Security News ·
Gotekky ·
GitHub Advisory Database
Stand: 23.05.2026. Sicherheitsthema — Befehle nur auf eigenen Systemen bzw. nach Rücksprache ausführen.