LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中

セキュリティニュース

投稿日時: 更新日時:

LiteSpeed User-End cPanelプラグインの脆弱性 CVE-2026-48172がサイバー攻撃に悪用中

LiteSpeed Technologies社は2026年5月21日、自社のcPanel向けユーザーエンドプラグイン「LiteSpeed User-End cPanel Plugin」にCVSS v4.0スコア10.0(最高スコア・Critical)の権限昇格脆弱性が存在し、実際の攻撃で悪用されていると公式ブログ(LiteSpeed公式セキュリティアップデート・2026年5月21日)で発表しました。

本脆弱性(CVE-2026-48172)は、プラグインのlsws.redisAble関数における誤った権限付与(CWE-266: Incorrect Privilege Assignment)が原因です。cPanelの標準JSON APIを通じてすべての認証済みcPanelユーザーに公開されているこの関数を呼び出すことで、一般ユーザーの権限でrootとして任意のスクリプトを実行できます。共有ホスティング環境では1台のサーバーに多数のcPanelアカウントが存在するため、1つのアカウントが侵害されるだけでサーバー全体が完全に掌握される深刻な状況です。

cPanelは2026年5月19日、予定より先立ってフリートワイド(全サーバー一括)の強制アンインストールを実施。LiteSpeedは5月21日に修正版(プラグインv2.4.7・LiteSpeed WHM Plugin 5.3.1.0)を公開しました。米国CISAは5月22日にKEVカタログへ追加し、連邦機関(FCEB)の対処期限として当初5月27日を設定(後述の通り最新情報では6月16日に延長)しています。

この記事のサマリー

  • CVE:CVE-2026-48172
  • CVSS v4.0スコア10.0(最高スコア・Critical)
  • CWE:CWE-266(誤った権限付与:Incorrect Privilege Assignment)
  • 発見者:セキュリティ研究者 David Strydom
  • 影響を受けるコンポーネントLiteSpeed User-End cPanel Plugin(バージョン2.3〜2.4.4)。LiteSpeed WHM Pluginは影響なし。
  • 修正済みバージョン:cPanel Plugin v2.4.5(初期修正)→v2.4.7(追加の攻撃経路を考慮した包括的修正)。LiteSpeed WHM Plugin 5.3.1.0に同梱。
  • 脆弱性の種類:認証済みcPanelユーザーによるroot権限への昇格→任意スクリプトのroot実行→サーバー完全侵害
  • 実攻撃の確認あり(LiteSpeed公式・CISA共に確認。機会主義的な大規模スキャン・自動攻撃キャンペーンが全世界で進行中)
  • cPanelの対応:2026年5月19日に予告なしの強制フリートワイドアンインストールを実施
  • CISA KEV追加:2026年5月22日。FCEBの対処期限:6月16日(CyCognito最新情報)
  • 検知方法:cPanelログでcpanel_jsonapi_func=redisAbleを含むエントリをgrepで検索
  • 暫定緩和策/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstallコマンドでユーザーエンドプラグインを削除

対応手順

推奨:LiteSpeed WHM Plugin 5.3.1.0へのアップグレード

# LiteSpeed WHM Pluginのアップグレード 
# WebHost Manager (WHM) → Plugins → LiteSpeed Web Server 
# または以下のコマンドで確認・更新
/usr/local/lsws/admin/misc/whm_plugin --upgrade  

# cPanel Pluginのバージョン確認 /usr/local/lsws/admin/misc/lscmctl cpanelplugin --version

暫定緩和策:ユーザーエンドcPanelプラグインのアンインストール

アップグレードが即座に実施できない場合は、LiteSpeedが公式に推奨するアンインストールコマンドを実行してください。

/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall

これにより脆弱なlsws.redisAbleエンドポイントがcPanel JSON APIから削除されます。LiteSpeed WHM Pluginは引き続き使用できます。

侵害の痕跡(IOC)確認

# cPanelのアクセスログでredisAble呼び出しを検索
grep "cpanel_jsonapi_func=redisAble" /var/cpanel/logs/*.log

# または最近のすべてのcPanelアクセスログを確認 
grep "cpanel_jsonapi_func=redisAble" /usr/local/cpanel/logs/access_log

cPanel関連の2026年の重大脆弱性の文脈

The Hacker Newsが指摘するように、本件は2026年に入ってからのcPanel関連の重大インシデントが立て続けに発生している状況の中に位置します。

CVE-2026-41940(CVSS 9.8)として、直前に公開されたcPanel本体の重大な脆弱性です。未知の脅威アクターによる悪用が確認されており、Miraiボットネットの亜種と「Sorry(ソーリー)」と呼ばれるランサムウェアが展開されたことが報告されています。

今回のCVE-2026-48172(CVSS 10.0)は、この状況の中でLiteSpeedというサードパーティプラグインを通じた攻撃経路が加わったものです。攻撃者は複数の脆弱性を組み合わせて使用することもあるため、CVE-2026-41940の修正状況も並行して確認することが推奨されます。

LiteSpeedとcPanelとは—日本でも広く使われる組み合わせ

脆弱性の深刻さを正しく評価するために、まず関連製品の立場を整理します。

LiteSpeed Web Server(LSWS)は、Apache互換でありながらより高速・高効率な商用Webサーバーです。共有ホスティング環境でのWordPress等のCMSパフォーマンス向上に定評があり、世界中のホスティングプロバイダーに広く採用されています。国内でもXserver・ConoHa WING・LOLIPOP!等の主要ホスティングサービスで採用されています。

cPanelは、LinuxサーバーのWebホスティング管理を行うための業界標準コントロールパネルです。ファイル管理・メールアカウント・データベース・ドメイン設定などをブラウザから操作できます。共有ホスティング環境の事実上の標準であり、国内外を問わず多くのホスティングサービスで採用されています。

LiteSpeed User-End cPanel Pluginは、cPanel環境においてエンドユーザー(各ホスティングアカウントのユーザー)がLiteSpeedの設定をcPanelインターフェイス上から調整するためのプラグインです。Redis(キャッシュシステム)の有効化・無効化設定などの機能を提供します。この「Redis有効化・無効化」の処理が今回の脆弱性の核心です。


CVE-2026-48172の技術詳細—「Redis ON/OFFのAPI関数がrootで動く」

根本原因:lsws.redisAble関数の設計ミス

CyberPress・Rescanaの技術分析によれば、今回の脆弱性の根本原因は以下の通りです。

LiteSpeed User-End cPanel Pluginは、cPanelの標準JSON API(cpanel_jsonapi_module=Lsws形式)を通じてエンドユーザーにRedisの有効化・無効化機能を提供するlsws.redisAble関数を実装していました。

問題は、この関数がcPanel JSON APIを通じてすべてのログイン済みcPanelユーザーに公開されているにもかかわらず、その内部処理がroot権限で動作するLiteSpeedのデーモン処理に誤って紐づいている点にあります。つまり「一般ユーザーが呼び出せるAPI」が「root権限で任意のスクリプトを実行できる処理」に到達できてしまう権限設計のミスです。

dbugsの説明によれば、より具体的には「Redisの有効化・無効化機能の処理のミスハンドリングにより、任意のcPanelユーザーが権限を昇格させ、最終的にrootとして任意のスクリプトを実行できる」とされています。

攻撃の実施が容易な理由

攻撃のハードルが低い理由は以下の通りです。標準のcPanel JSON APIという正規の機能経路から呼び出せるため、特別なエクスプロイトコードが不要です。すべての認証済みcPanelユーザーから呼び出せるため、攻撃者は安価に購入したホスティングアカウント1つがあれば足ります。共有ホスティング環境の構造上、1つのサーバーに存在するすべてのサイトのデータに到達できる可能性があります。

Rescanaの分析は「現在の悪用は特定のAPTグループではなく、機会主義的な脅威アクターによるもの。自動スキャンツールとスクリプトを使って脆弱なLiteSpeed cPanel Plugin環境を大規模にスキャン・攻撃している」と説明しています。

cPanelによる異例の「強制フリートワイドアンインストール」の経緯

今回の事案で最も注目すべき対応の一つが、cPanelが2026年5月19日に予告なしで行った強制フリートワイドアンインストールです。

CyberPressの詳報によれば、cPanelはLiteSpeedの公式パッチリリース(5月21日)とCISAのKEV追加(5月22日)に先立つ5月19日、予定されていた技術的セキュリティリリースウィンドウの5時間前に、管理下にあるすべてのサーバーからLiteSpeed User-End cPanel Pluginを予告なしに強制削除しました。

この措置はcPanelがホスティングプロバイダーのサーバーに対してリモートでソフトウェアを制御できる仕組みを持っているために可能でした。緊急性の高い脆弱性に対する異例の先制的措置として評価できる一方、ユーザーへの事前告知なしにプラグインが突然消えるという事態はホスティング事業者・エンドユーザー双方に混乱をもたらしました。


実攻撃の状況—世界規模での機会主義的スキャンが進行中

複数の調査機関が確認した実攻撃の現状は以下の通りです。

LiteSpeed公式が「脆弱性が実際に悪用されている」と公式発表しています(5月21日)。2026年5月時点で、世界的な規模での共有ホスティング基盤に対する機会主義的な自動攻撃キャンペーンが進行していると報告されています(Rescana・Vulert)。攻撃者の目的として確認・推測されているものには、マルウェア・バックドアの設置・サーバーへの持続的アクセス・ランサムウェアの展開・ボットネット参加・同一サーバー上の他サイトデータの窃取が含まれます。


日本のホスティング利用者・事業者への影響

日本はcPanelを採用したホスティングサービスが非常に多く、LiteSpeedを組み合わせているプロバイダーも多数存在します。以下の観点で確認が必要です。

ホスティングサービス利用者(WordPressサイト運営者等)として、自分のサイトが利用しているホスティングサービスがcPanelを採用しているかどうかを確認してください。cPanelのコントロールパネルにLiteSpeedの設定メニュー(特にRedis設定)が存在する場合は、プラグインが存在した可能性があります。パッチ適用・強制アンインストール済みかどうかはホスティングプロバイダーに問い合わせるか、サービスの公式ニュースを確認してください。

ホスティング事業者・サーバー管理者として、自社の共有ホスティング環境でLiteSpeedを使用している場合は、cPanel User-End Pluginのバージョンを確認してください。プラグインがv2.4.4以前の場合は即座にv2.4.7以降またはLiteSpeed WHM Plugin 5.3.1.0へのアップグレードを実施してください。アップグレード前にcPanelのアクセスログでcpanel_jsonapi_func=redisAbleを含むエントリがないかを確認し、既存の侵害の痕跡調査を行うことを強く推奨します。

 


FAQ

Q. LiteSpeed WHM Pluginを使っているが、cPanel User-End Pluginはインストールしていないと思う。影響はありますか? A. 影響を受けるのは「LiteSpeed User-End cPanel Plugin」(バージョン2.3〜2.4.4)のみです。LiteSpeed WHM Pluginは本脆弱性の影響を受けません。ただし、WHMプラグインがインストールされている環境では、エンドユーザー向けのcPanelプラグインも自動的にインストールされているケースが多いため、実際のインストール状況をコマンドラインから確認することを強く推奨します。

Q. cPanelが強制アンインストールしたはずなのに、まだアップデートが必要ですか? A. cPanelによる強制アンインストールは緊急的な「プラグインの削除」措置です。その後LiteSpeedの公式修正版(v2.4.7)が公開されており、Redis機能等を引き続き使用したい場合は修正済みバージョンへの更新・再インストールが必要です。また強制アンインストールが実際に実施されたかどうかはサーバー環境によって異なる場合があるため、コマンドラインで状態を確認することを推奨します。

Q. WordPressなど一般的なCMSの利用者は何かすべきことがありますか? A. 直接的な対応が必要なのはサーバーの管理者(ホスティング事業者やVPS管理者)です。一般のWordPressサイトのオーナーが自分で対処できることは限られますが、利用しているホスティングサービスが本件に対応済みかどうかを確認し、不明な場合はプロバイダーに問い合わせることが推奨されます。また、不審なサイトの改ざんや予期しない動作が発生した場合は、ホスティング事業者に速やかに報告してください。

Q. 侵害されたかどうかはどのように確認できますか? A. サーバーのcPanelアクセスログでcpanel_jsonapi_func=redisAbleのエントリを確認してください。特に普段アクセスしていないような時間帯や外部IPからのこの呼び出しが記録されていた場合は、インシデント対応を開始することを強く推奨します。


参考情報(1次ソース)