كشف فريق أمن سيبراني عن ثغرة أمنية خطيرة جداً في إضافة LiteSpeed User-End cPanel Plugin، يتم استغلالها حالياً في هجمات مستمرة. وتشكل هذه الثغرة تهديداً كبيراً لأمن الخوادم التي تستخدم هذه الإضافة.
وتم تصنيف الثغرة، التي تحمل المعرف CVE-2026-48172، بدرجة خطورة قصوى (CVSS 10.0). وتتعلق هذه الثغرة بمشكلة في منح صلاحيات غير صحيحة، مما يسمح للمهاجم بتنفيذ أوامر عشوائية بصلاحيات مرتفعة جداً على النظام.
استغلال ثغرة LiteSpeed User-End cPanel Plugin
وفقاً لشركة LiteSpeed، يمكن لأي مستخدم لمنصة cPanel، سواء كان مهاجماً أو حساباً تم اختراقه، استغلال وظيفة lsws.redisAble لتنفيذ برامج نصية عشوائية بصلاحيات المستخدم الجذر (root).
تؤثر الثغرة على جميع إصدارات الإضافة بين 2.3 و 2.4.4. ومن الجدير بالذكر أن إضافة WHM الخاصة بـ LiteSpeed غير متأثرة بهذه المشكلة. وقد تم إصدار التحديث اللازم لمعالجة الخلل في النسخة 2.4.5، ويُنسب الفضل في اكتشافها إلى الباحث الأمني ديفيد سترايدم.
وأكدت LiteSpeed أن “الثغرة يتم استغلالها بنشاط”، دون تقديم تفاصيل إضافية حول طبيعة هذه الهجمات. وقد شاركت الشركة مؤشراً لمساعدة المستخدمين في الكشف عن أي استغلال محتمل.
كيفية التحقق من الاستغلال
يمكن للمستخدمين التحقق من تعرض خوادمهم للاستغلال عبر تشغيل الأمر التالي:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullفي حال عدم ظهور أي مخرجات، فهذا يعني أن الخادم غير متأثر. أما في حال وجود مخرجات، فيُنصح بفحص عناوين IP الظاهرة فيها والتأكد من شرعيتها، مع حظر أي عناوين مشبوهة.
تحديثات وإجراءات احترازية
بعد مراجعة أمنية شاملة لإضافات cPanel و WHM، قامت LiteSpeed بإصلاح نقاط ضعف محتملة أخرى، وأصدرت النسخة 2.4.7 من إضافة cPanel، مدمجة مع النسخة 5.3.1.0 من إضافة WHM.
تُنصح جميع المستخدمين بالتحديث فوراً إلى إضافة LiteSpeed WHM Plugin الإصدار 5.3.1.0 أو أعلى، لضمان سد الثغرة الأمنية. في حال عدم إمكانية إجراء التحديث بشكل فوري، يُنصح بإلغاء تثبيت الإضافة من جانب المستخدمين عبر الأمر التالي:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallيأتي هذا التطور بعد أسابيع قليلة من اكتشاف ثغرة حرجة أخرى في cPanel (CVE-2026-41940)، والتي تم استغلالها بنشاط لنشر برمجيات خبيثة مثل شبكات البوت نت Mirai وسلالة برنامج الفدية Sorry.