Vulnerabilidad LiteSpeed cPanel: 0-day crítico (CVE-2026-48172) en explotación activa

Vulnerabilidad LiteSpeed cPanel: una nueva amenaza identificada como CVE-2026-48172 alcanza un puntaje CVSS máximo de 10.0 y ya se encuentra bajo explotación activa. Además, el fallo permite escalar a privilegios root con una única petición API malformada, sin necesidad de credenciales. En consecuencia, miles de servidores con hosting compartido enfrentan un riesgo inmediato de toma de control absoluta.

Cómo opera esta vulnerabilidad LiteSpeed cPanel

De hecho, el plugin LiteSpeed para cPanel es uno de los aceleradores web más instalados en servidores Linux, presente en una porción importante del hosting compartido del mundo. Por su parte, el CVE-2026-48172 explota un error de lógica en la validación de entrada de una API administrativa expuesta por el propio plugin.

Asimismo, los atacantes encadenan la llamada vulnerable con módulos preinstalados para obtener control total del servidor afectado. Aun así, la complicación más grave reside en que el exploit funciona sin autenticación previa, lo que reduce a segundos el tiempo entre el escaneo y el compromiso.

Impacto en hosting compartido y proveedores cloud

Por otro lado, el escenario más peligroso aparece en plataformas de hosting compartido, donde múltiples clientes conviven en un mismo servidor físico. En este sentido, un único atacante con acceso root podría leer datos de todos los sitios alojados, modificar bases de datos ajenas o desplegar malware persistente.

No obstante, los proveedores cloud que ofrecen paneles administrativos basados en cPanel también figuran en la lista de afectados. Como resultado, ya existen reportes de explotación masiva con automatización para identificar servidores vulnerables expuestos en internet.

Cómo mitigar la vulnerabilidad LiteSpeed cPanel

Por lo tanto, la única mitigación efectiva consiste en actualizar el plugin a la versión 5.3.1.0 o superior, publicada de emergencia por LiteSpeed. Asimismo, conviene auditar los logs de acceso recientes en busca de peticiones anómalas hacia la API administrativa. Para profundizar en estrategias de hardening de servidores, puedes explorar más artículos sobre seguridad en cloud en nuestro blog.

Finalmente, este incidente confirma que las dependencias de terceros en paneles de administración siguen siendo uno de los puntos ciegos más explotados por atacantes. En la práctica, contar con monitoreo continuo y políticas de parches automáticos resulta tan importante como elegir software con buen historial de respuesta ante CVEs críticos.

Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.

Puedes encontrarnos en Facebook y LinkedIn para más contenido relacionado con seguridad en internet y muchos temas más.

Fuentes: GBHackers, TLDR Information Security.