Dauguma serverių administratorių mano, kad cPanel yra pakankamai saugus – juk tai vienas populiariausių prieglobos valdymo įrankių, naudojamas milijonuose serverių visame pasaulyje. Tačiau vienas mažas papildinys, kurio daugelis net nepastebi savo dieginių sąraše, gali atverti kelią į visišką serverio kontrolę.
JAV Kibernetinio saugumo ir infrastruktūros agentūra (CISA) antradienį įtraukė LiteSpeed cPanel papildinio spragą į aktyviai išnaudojamų pažeidžiamumų katalogą ir įsakė federalinėms agentūroms užlopyti sistemas iki gegužės 29 dienos vidurnakčio. Tai reiškia – vos keturios dienos.
Saugumo spraga, žymima CVE-2026-48172, slypi LiteSpeed vartotojo sąsajos papildinyje, konkrečiai – `lsws.redisAble` funkcijoje, kuri netinkamai apdoroja Redis įjungimo ir išjungimo komandas. Ši klaida leidžia nuotoliniams užpuolikams, neturintiems jokių privilegijų, vykdyti savavališkas komandas su root teisėmis.
// reklamaČia gali būti jūsų reklamaSusisiekite →LiteSpeed komanda ketvirtadienį išleido skubius saugumo atnaujinimus, įspėdama naudotojus nedelsiant atnaujinti cPanel vartotojo papildinį, kuris įeina į WHM papildinio paketą. Pažeidžiamumas veikia visas versijas nuo 2.3 iki 2.4.4.
LiteSpeed rekomenduoja administratoriams patikrinti serverius specialia komanda, kuri parodo įtartinus IP adresus, galimai jau bandžiusius išnaudoti spragą. Jei sistema grąžina rezultatų, patariama nedelsiant juos blokuoti ir peržiūrėti žurnalus dėl galimos žalos.
Nors BOD 22-01 direktyva formaliai taikoma tik JAV federalinėms agentūroms, CISA paragino visus – įskaitant privatų sektorių – kuo greičiau užlopyti šią spragą. Pasak agentūros, tokio tipo pažeidžiamumas yra dažnas kenkėjiškų veikėjų atakų vektorius, keliantis didelę riziką.
Tai jau ne pirmas kartas šiais metais, kai CISA įsako skubiai lopyti serverių programinę įrangą – balandžio mėnesį agentūra reikalavo per keturias dienas sutvarkyti Ivanti spragą, o dar anksčiau – Drupal pažeidžiamumą. cPanel ir toliau išlieka patraukliu taikiniu dėl plataus paplitimo prieglobos paslaugų rinkoje.
