cPanel外掛程式LiteSpeed滿分漏洞CVE-2026-48172遭駭客以root執行指令碼

LiteSpeed cPanel 外掛程式存在 CVSS v4.0 滿分(10.0)漏洞,已遭駭客積極利用,可讓任意 cPanel 帳號以 root 權限執行任意指令碼。

漏洞詳情

  • CVE編號:CVE-2026-48172
  • CVSS v4.010.0(滿分)
  • 漏洞類型:權限提升
  • 影響版本:LiteSpeed cPanel 外掛程式 2.3 ~ 2.4.4
  • 修補版本:2.4.5(修補)、2.4.7(進一步強化)
  • 公告日期:2026-05-21
  • 是否遭利用:✅ 是,已有積極攻擊活動

攻擊條件

  • 只需取得任意 cPanel 使用者帳號
  • 即可以 root 權限執行任意指令碼
  • WHM 專用外掛程式不受影響

修補建議

  1. 立即升級至 cPanel 外掛程式 2.4.7、WHM 外掛程式 5.3.1.0
  2. 依官方指引確認伺服器是否已遭入侵
  3. 無法立即更新則暫時移除外掛程式

背景

4月底 cPanel 本身也修補了 CVE-2026-41940,引發多起利用事件。

CISA KEV 列管(2026-05-26)

CISA 於 2026-05-26 正式將 CVE-2026-48172 加入 Known Exploited Vulnerabilities(KEV)名單,要求所有聯邦機構於 2026-05-29 前完成修補(距公告僅約4天)。

來源文章

相關頁面