Önemli Güvenlik Açığı: LiteSpeed cPanel Eklentisi
LiteSpeed User-End cPanel eklentisinde tespit edilen yüksek dereceli bir güvenlik açığı, siber saldırganlar tarafından aktif bir şekilde istismar edilmektedir. Bu açık, kullanıcıların sistemde yetkisiz script yürütmesine olanak sağlamaktadır ve bu durum büyük bir tehlike arz etmektedir.
Saldırı Nasıl Çalışıyor?
Söz konusu güvenlik açığı, CVE-2026-48172 olarak takip edilmektedir ve CVSS skoru 10.0 olarak belirlenmiştir. Açık, bir saldırganın veya ele geçirilmiş bir kullanıcı hesabının, sistemdeki lsws.redisAble fonksiyonunu istismar ederek kök yetkileriyle rastgele scriptler çalıştırmasına imkan tanımaktadır.
LiteSpeed, bu açığın 2.3 ile 2.4.4 versiyonları arasındaki tüm eklenti sürümlerini etkilediğini bildirmiştir. Ancak, LiteSpeed’in WHM eklentisinden etkilenmediği belirtilmiştir. Problemin çözümü için 2.4.5 sürümünün güncellemesi yapılmıştır.
Etkilenen Sistemler
- Açık: CVE-2026-48172
- CVSS Skoru: 10.0
- Etkilenen Versiyonlar: 2.3 ile 2.4.4 arası
- Çözüm: Sürüm 2.4.5 ve üzeri
Sistem yöneticilerinin dikkat etmesi gereken bir diğer nokta ise, sistemde bildirim alınan bir gösterge bulunmaktadır:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
Eğer yukarıdaki komut herhangi bir çıktı üretmezse, sunucunuz etkilenmemektedir. Ancak herhangi bir çıktı alırsanız, listelediğiniz IP adreslerini kontrol etmeli ve meşru değillerse engellemelisiniz.
Çözüm ve Korunma
LiteSpeed, güvenlik açığı sonrası cPanel ve WHM eklentileri için ek potansiyel saldırı vektörlerini düzeltmiş ve cPanel eklentisi için 2.4.7, WHM eklentisi içinse 5.3.1.0 sürümünü yayımlamıştır. Kullanıcıların, güvenlik açığını kapatmak için LiteSpeed WHM Eklentisi 5.3.1.0 sürümüne güncellemeleri gerekmektedir.
Eğer hemen bir güncelleme gerçekleştirilemiyorsa, aşağıdaki komutu çalıştırarak kullanıcı son eklentisini kaldırmanız önerilmektedir:
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
Son olarak, cPanel platformunda daha önce tespit edilen başka bir kritik güvenlik açığı olan CVE-2026-41940 (CVSS skoru: 9.8) da göz önünde bulundurulmalıdır. Bu açık, bilinmeyen tehdit aktörleri tarafından Mirai botnet varyantlarını ve “Sorry” adında bir fidye yazılımını dağıtmak için kullanılmaktadır.
Sonuç olarak, kullanıcıların güncellemeleri uygulaması ve potansiyel tehditleri izlemeye devam etmesi kritik öneme sahiptir.
