LiteSpeed Technologies(LiteSpeedテクノロジーズ)は2026年5月21日、同社のcPanelユーザーエンドプラグイン(LiteSpeed User-End cPanel Plugin)のバージョンv2.3〜v2.4.4に存在するゼロデイ脆弱性に対するセキュリティ更新を公式ブログで発表しました。
本 脆弱性はCVE-2026-48172として登録されており、CVSS v3.1スコアは最高値の10.0です。認証済みのcPanelユーザーであれば誰でも、単一の不正なAPIコールを送信するだけで任意のスクリプトをroot権限で実行できる特権昇格の脆弱性であり、実際のサイバー攻撃での悪用が確認されています。
cPanel(WebPros)は脆弱性の報告を受けた2026年5月19日、通常の定期セキュリティリリースウィンドウの5時間前という異例のタイミングで、全世界のcPanelサーバーを対象に脆弱なプラグインを強制アンインストールする緊急コマンドを展開しました。
LiteSpeedによる完全な修正版(cPanelプラグインv2.4.7・WHMプラグインv5.3.1.0)は2026年5月21日に公開されています。
この記事のサマリー
- CVE:CVE-2026-48172(GitHub Advisory: GHSA-fxrh-cwjh-m33v)
- CVSS スコア:10.0(最高値)
- 脆弱性の種類:特権昇格(Privilege Escalation)——
lsws.redisAbleJSON-APIエンドポイントのロジック欠陥 - 影響を受けるバージョン:LiteSpeed cPanelユーザーエンドプラグイン v2.3〜v2.4.4(WHMプラグインは当初非対象だが後述の追加脆弱性あり)
- 実攻撃の確認:あり(LiteSpeed公式が明記)
- 発見者:David Strydom氏
- CVE申請日:2026年5月20日
- cPanelの緊急対応(5月19日):定期リリースウィンドウの5時間前に全サーバーへの脆弱なプラグインの強制アンインストールコマンドを展開
- 完全修正版:LiteSpeed WHMプラグイン v5.3.1.0(cPanelプラグイン v2.4.7 バンドル)・2026年5月21日公開
- 影響範囲:共有ホスティング環境のすべての有効なcPanelセッションが対象——単一サーバー上の数百テナントすべてが標的になりうる
目次
脆弱性の根本原因—「全cPanelユーザーに公開されたエンドポイント」
lsws.redisAble JSON-APIエンドポイントのロジック欠陥
CVE-2026-48172の根本原因は、LiteSpeed cPanelユーザーエンドプラグインが提供する**lsws.redisAble JSON-APIエンドポイント**に存在するロジックの欠陥です。
LiteSpeed公式ブログによれば「任意のcPanelユーザー(攻撃者または侵害されたアカウントを含む)がlsws.redisAble関数を悪用して、任意のスクリプトをroot権限で実行できる」としています。
このエンドポイントのもっとも危険な側面は、デフォルトでログイン済みの全cPanelユーザーに公開されている点です。CyberPressの分析によれば「悪用は危険なほど簡単で、認証のギャップを埋める必要も、レースコンディションを制する必要もない」とされており、攻撃者は特定のパラメータ値を含む1つの不正なAPIコールを送信するだけでroot権限昇格を完了できます。
共有ホスティング環境に対する壊滅的な影響
共有ホスティング環境では、単一のサーバー上に数百名のテナントが有効なcPanelセッションを持つことが一般的です。この脆弱性の文脈においては、いずれか1名の低権限ユーザーが侵害されているだけで、サーバー全体の完全な制御権を取得できることを意味します。
悪用に成功した場合に可能になることとして、全テナントのデータの大量流出、持続的なバックドアのインストール、ネットワーク全体への横展開(ラテラルムーブメント)が挙げられます。LiteSpeedのcPanelプラグインはキャッシュ機能を提供するために世界中のホスティングフリートに広く展開されており、世界規模で数百万台の共有ホスティングサーバーが潜在的にリスクにさらされていました。
インシデントのタイムライン(LiteSpeed公式ブログより)
| 日付 | 出来事 |
|---|---|
| 2026年5月19日 | David Strydom氏からLiteSpeedに脆弱性が報告される |
| 2026年5月19日 | cPanel(WebPros)が全サーバーへの脆弱なプラグインの強制アンインストールコマンドを展開(定期セキュリティリリースウィンドウの5時間前) |
| 2026年5月19日 | LiteSpeedがcPanelプラグイン v2.4.6 およびWHMプラグイン v5.3.0.0 をリリース(初期修正) |
| 2026年5月20日 | CVE-2026-48172を申請 |
| 2026年5月21日 | 完全なセキュリティレビューを完了し、cPanelプラグイン v2.4.7 およびWHMプラグイン v5.3.1.0 をリリース(cPanel/WebProsチームの支援を受けた追加の潜在的攻撃ベクターも修正) |
cPanelによる予定外の緊急強制アンインストールとは
cPanel公式サポート記事によれば、cPanelはLiteSpeedプラグインのユーザーエンドコンポーネントを夜間の自動アップデートで自動的に削除しました。これは通常の定期セキュリティリリーススケジュールを待たない異例の緊急措置であり、脆弱性の深刻さを端的に示しています。
追加脆弱性の発見—WHMプラグインにも潜在的な問題
当初のセキュリティアドバイザリでは「LiteSpeed WHMプラグインは本ロジック欠陥の影響を受けない」としていました。しかし2026年5月21日に完了した包括的なセキュリティレビューにより、cPanelおよびWHM両プラグインに追加の潜在的攻撃ベクターが発見されました。
LiteSpeedとcPanel/WebProsチームはこれらの追加ベクターについてもv2.4.7・v5.3.1.0でプロアクティブに修正を適用しています。なお「これらの追加脆弱性についての実際の悪用報告はない」とLiteSpeedは明記しています。
侵害確認コマンドと対応手順
侵害の確認——まず以下のコマンドを実行
LiteSpeed公式が提示する侵害確認コマンドです。
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
出力がない場合:サーバーは影響を受けていません。
出力がある場合:ホストは完全に侵害されたものとして扱ってください。検出されたIPアドレスを確認し、正規のものでない場合はブロックしてください。そのIPアドレスが実行したアクションをシステムログで精査し、cronジョブとauthorized_keysファイルを監査して不正な追加がないかを確認してください。すべての認証情報(rootパスワード・SSHキーを優先)を即座にローテーションしてください。
アップグレード(推奨対応)
LiteSpeed WHMプラグイン v5.3.1.0(cPanelプラグイン v2.4.7 バンドル)以降にアップグレードしてください。以下のコマンドで強制的にcPanelをアップデートできます。
/scripts/upcp --force
アンインストール(アップグレードできない場合の緊急回避策)
すぐにアップグレードできない場合は、以下のコマンドで脆弱なプラグインをアンインストールすることで当面のリスクを回避できます。
/usr/local/lsws/admin/misc/lscmctl cpanelplugin --uninstall
背景—May 2026はcPanelエコシステムの高脅威期間
CyberPressが指摘するように、本インシデントは2026年5月に22日間でcPanelエコシステム全体で8件の個別のアドバイザリイベントが発生するという「高脅威期間」の一部として発生しています。ホスティングインフラ全体を標的とした継続的な攻撃キャンペーンの一環とみなされており、cPanelを利用するホスティング事業者および同環境を使用する利用者は全体的な警戒レベルを引き上げることが求められます。
FAQ
Q. 最新版にアップデート済みの場合、対応は必要ですか? A. LiteSpeedの声明によれば「cPanelプラグインを常に最新の状態に保っている場合、何もする必要はない」とされています。ただし、長期間アップデートしていない場合は直ちにアップデートしてください。
Q. cPanelの強制アンインストールが実行されたサーバーは安全ですか? A. 強制アンインストールにより脆弱なプラグインは削除されていますが、アンインストール前に侵害が発生していた可能性があります。上記の侵害確認コマンドで事前の攻撃の痕跡がないかを必ず確認してください。
Q. 共有ホスティングを利用する一般ユーザーは何をすべきですか? A. 利用しているホスティング会社がcPanel環境にLiteSpeedプラグインを導入している場合、プロバイダーがパッチを適用済みかどうかを確認してください。侵害の兆候(アカウントへの不審なアクセス・パスワードの不正変更等)が見られる場合は、直ちにパスワードを変更しホスティング会社に連絡してください。








