L’agence américaine pour la cybersécurité et la sécurité des infrastructures, la CISA, a donné un délai de quatre jours aux administrations fédérales des États-Unis pour sécuriser leurs serveurs contre une faille critique. Cette vulnérabilité affecte le plugin utilisateur final cPanel de LiteSpeed et fait l’objet d’exploitations actives.
Cette faille, répertoriée sous l’identifiant CVE-2026-48172, permet une élévation de privilèges. Elle est liée à une mauvaise gestion des fonctionnalités d’activation et de désactivation de Redis au sein de la fonction lsws.redisAble.
La racine du problème est une faiblesse dans l’attribution des autorisations. Elle permet à des attaquants distants, qui ne disposent d’aucun privilège initial, d’exécuter des scripts arbitraires avec les droits d’administrateur système.
L’éditeur LiteSpeed a diffusé des correctifs de sécurité urgents jeudi. L’entreprise a averti les utilisateurs qu’ils doivent mettre à jour leur plugin utilisateur final cPanel, qui est fourni avec le plugin WHM, vers sa dernière version.
Une commande permet de vérifier si un serveur est exposé aux attaques exploitant la CVE-2026-48172 :
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/nullL’équipe de LiteSpeed a précisé que cette vulnérabilité est activement exploitée et qu’elle concerne toutes les versions du plugin utilisateur final comprises entre la v2.3 et la v2.4.4.
L’entreprise recommande d’examiner toute sortie générée par la commande. Il faut identifier les adresses IP listées, vérifier leur légitimité et les bloquer si elles sont malveillantes. Pour évaluer les éventuels dommages, les journaux système doivent être inspectés afin de retrouver les actions menées par ces adresses IP détectées.
Mardi, la CISA a ajouté cette faille de sécurité à son catalogue des vulnérabilités exploitées. L’agence a ordonné aux agences fédérales américaines de corriger leurs systèmes avant vendredi 29 mai à minuit, conformément à la directive opérationnelle contraignante BOD 22-01.
Bien que la directive BOD 22-01 ne s’applique qu’aux agences fédérales, la CISA a exhorté tous les défenseurs, y compris dans le secteur privé, à donner la priorité aux correctifs pour la CVE-2026-48172 et à sécuriser leurs serveurs sans délai.
L’agence de cybersécurité a alerté sur le fait que ce type de vulnérabilité constitue un vecteur d’attaque fréquent pour les acteurs malveillants et qu’il représente un risque majeur pour le parc fédéral.
Son instruction est claire : appliquer les mesures d’atténuation selon les préconisations de l’éditeur, suivre les directives de la BOD 22-01 applicables aux services cloud, ou cesser d’utiliser le produit si aucune mesure corrective n’est disponible.